Tshark显示vxlan内层报文的tcp option

最新推荐文章于 2025-03-19 10:44:42 发布
最新推荐文章于 2025-03-19 10:44:42 发布
阅读量679 收藏
点赞数
分类专栏: 工具类 文章标签: tshark wireshark vxlan 内层 tcp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/juewuer/article/details/105722818
版权

tshark是wireshark的linux版本,用来解析各种包很方便
现在又跟需求,是显示vxlan的内层tcp包的option,但是option只有在syn和ack里有

操作命令如下: tshark更详细的参数,请参考帮助

[root@vm100-1-3-198 ~]# tshark -nnlr tengine.pcap -d udp.port==4789,vxlan -Tfields -E header=y -Eheader=y -e tcp.options -R “tcp.flags.syn == 1 or tcp.flags.ack == 1”
Running as user “root” and group “root”. This could be dangerous.
tcp.options
02:04:05:b4:01:01:04:02:01:03:03:07
eb:08:12:b5:0a:0d:21:0a:02:04:05:b4:01:01:04:02:01:03:03:0b
02:04:05:b4:01:01:04:02:01:03:03:07
02:04:05:b4:01:01:04:02:01:03:03:07
eb:08:12:b5:0a:0d:21:0a:02:04:05:b4:01:01:04:02:01:03:03:0b
02:04:05:b4:01:01:04:02:01:03:03:07
02:04:05:b4:01:01:04:02:01:03:03:07
eb:08:12:b5:0a:0d:21:0a:02:04:05:b4:01:01:04:02:01:03:03:0b
02:04:05:b4:01:01:04:02:01:03:03:07
02:04:05:b4:01:01:04:02:01:03:03:07
02:04:05:b4:01:01:04:02:01:03:03:07

其中原始报文如
在这里插入图片描述

使用tshark对pcap报文进行批量切流
村中少年的专栏
09-03 5717
通过一个具体的切流示例介绍一下tshark命令行的一些参数
Wireshark lua 插件批量查询报文中指定内容
村中少年的专栏
01-05 3551
wireshark插件方法介绍。Wireshark lua 插件批量查询报文中指定内容
趣说 TCP/IP 分层模型 vxlan 报文 以及通信过程(图并茂版)
weixin_45806131的博客
08-16 566
先简单介绍一下TCP/IP与OSI参考模型
vxlan报文 wireshark_配置 VXLAN
weixin_39974958的博客
12-20 879
简介本档简要概述虚拟可扩展局域网 (VXLAN),并提供了几个配置示例以及验证命令和输出。Cisco 建议您了解以下主题:组播路由概念,例如交汇点 (RP) 和平台无关组播 (PIM)。虚拟端口通道 (vPC) 概念。本档假设,在配置 VXLAN 前已建立 IP 路由和组播路由。使用的组件本档中的信息基于以下软件和硬件版本:运行版本 7.0(3)I1(1b) 的 Nexus 9396 系列用...
通过wireshark工具分析vlan与vxlan报文(实战专用,绝对有用)
最新发布
weixin_45556264的博客
03-19 195
主要基于wireshark工具对tcp报文进行分析,带着读者一步一步分析客户端与服务端之间的每一条报文的作用及上下报文之间的关系,有利于开发者在实际工作中快速定位报文丢失的原因,有效提高工作效率。
vxlan报文 wireshark_在CentOS7上配置Open vSwitch和VXLAN
weixin_39743622的博客
12-20 345
在CentOS7上配置Open vSwitch和VXLAN环境实验环境主机环境[yuwh@node0~]$uname-aLinuxnode03.10.0-123.9.3.el7.x86_64#1SMPThuNov615:06:03UTC2014x86_64x86_64x86_64GNU/Linux[yuwh@node0~]$cat/etc/redhat-re...
VXLAN协议实战
码农崛起
12-09 1154
介绍了什么是VXLAN,以及VXLAN的基本概念和工作原理,包括:为什么需要VXLANVXLAN与VLAN之间有啥不同?什么是VTEP?什么是VNI?VXLAN报文是如何封装的?VXLAN隧道是如何建立的?VXLAN的详细配置命令请 参见CloudEngine交换机的产品档。 什么是VXLAN VXLAN(Virtual eXtensible Local Area Network,虚拟扩展局域网),是由IETF定义的NVO3(Network Virtualization over Lay.
tcp option
gonaYet的博客
01-15 3449
一、奇怪现象: 三次握手时,前两次syn|syn+ack中的window size明明很大,但是第三次握手的时候window size却突然变得很小, 并且后续的数据传输的过程中,window size仍然很小,和syn|syn+ack中的不符,对于我们初探tcp的学习者来说, 会一头雾水,其实是我们只关注了tcp的重要点,而没有了解到tcp的小细节。 二、tcp option:
tshark+lua 实现解析 xxx.pcapng报文数据,并写入到件中
qq_42969422的博客
07-07 685
tshark+lua 解析 xxx.pcapng生成csv
使用 TCPdump、TSharkWireshark 捕获非空 TCP
qq_45831414的博客
08-18 641
TCPdump:一个开源的命令行工具,用于监听网络接口上的数据包并根据过滤规则捕获数据。TSharkWireshark 的命令行版本,支持更复杂的过滤器和解析选项。Wireshark:一个图形界面的网络协议分析器,提供丰富的数据包分析功能。通过上述方法,您可以有效地捕获非空的 TCP 数据包,这对于网络故障排查和性能分析非常有帮助。希望这篇笔记能为您提供有用的指导!
tshark怎么报文http报文
06-09
使用Tshark命令行工具可以抓取并显示HTTP报文。下面是一个示例命令: ``` tshark -i eth0 -Y '...
GRE: Generic Routing Encapsulation
测试
03-11 303
GRE: Generic Routing Encapsulation,通用路由封装;是一种隧道技术; 跨交换机利用GRE技术: 安装openvswitch: # systemctl disable firewalld # setenforce 0 # yum -y install vim # yum -y install net-tools # yum -y install epel-relea...
【计算机网络】TCP协议——1.报文格式详解
热门推荐
m0_72563041的博客
12-18 2万+
【计算机网络】TCP协议报文格式详解
VXLAN网络应用
造梦先森Kai的专栏
12-09 1515
1. 为什么需要Vxlan   普通的VLAN数量只有4096个,无法满足大规模云计算IDC的需求,而IDC为何需求那么多VLAN呢,因为目前大部分IDC内部结构主要分为两种L2,L3。L2结构里面,所有的服务器都在一个大的局域网里面,TOR透明L2,不同交换机上的服务器互通靠MAC地址,通信隔离和广播隔离靠的vlan,网关在内网核心上。而L3结构这是从TOR级别上就开始用协议进行互联,网关在T
vxlan报文 wireshark_Flannel 环境搭建与分析
weixin_39686048的博客
12-20 567
介绍Flannel是CoreOS团队针对Kubernates设计的跨主机容器网络解决方案, 它可以使集群中不同节点上运行的docker容器都具有全集群唯一的虚拟IP地址。举个例子,在一个由3台主机节点组成系统中,用户希望每个节点上容器的IP地址在各自设定的子网范围内:Host1: 10.0.1.0/24Host2: 10.0.2.0/24Host3: 10.0.3.0/24但是在 docker 的...
tcp option 结构体_TCP/IP体系结构
weixin_39656853的博客
11-25 618
一、简介1、传输控制协议/网络互联协议,是针对Internet开发的一种体系结构和协议标准,相对于OSI体系结构更简洁。2、结构类型:分层体系,由下至上分别是网络接口层、网际层、传输层和应用层(四层分法)。3、TCP/IP协议与OSI模型的对应关系(五层分法)。二、TCP/IP体系结构1、应用层:为用户的应用程序提供接口,使用户可以访问网络。(IE浏览器就处于应用层)HTTP 超本传输协议(浏览...
Wireshark解析展示Vxlan协议
zhuzhuxiazst的专栏
01-11 6152
问题/需求,前提说明 默认情况下Wireshark认为udp端口 而Linux内核默认的处理vxlan的协议端口为UDP 8472端口,因此在抓包使用wireshark统计观察分析Linux系统下的数据时,不能默认直接解析vxlan协议,而是直接将vxlan协议的数据作为UDP的数据块,可读性不高,因此需要客户化设置将UDP 8472 端口与Vxlan协议对应起来,以便wireshark软件解析协议. 如下图: 查看wireshark支持的协议 以及 enabled protocol ...
VxLAN概述
gongxiaopingxsl的博客
10-14 1万+
它使用TCP/IP协议栈的惯用手法——封装/解封装技术,将L2的以太网帧(Ethernet frames)封装成L4的UDP数据报(datagrams),然后在L3的网络中传输,效果就像L2的以太网帧在一个广播域中传输一样,实际上是跨越了L3网络,但却感知不到L3网络的存在。
VxLAN简介
cl2010abc的专栏
11-10 1222
1.VxLAN的定义 VxLAN 全称是 Visual eXtensible Local Area Network(虚拟扩展本地局域网),它是一个 VLAN 的扩展协议。 VxLAN 本质上是一种隧道封装技术。它使用 TCP/IP 协议栈的惯用手法----封装/解封装技术,将 L2 的以太网帧(Ethernet frames)封装成 L4 的 UDP 数据报(datagrams),然后在 L3 的...
tshark
03-12
<think>嗯,用户之前问过关于流量包中有上万个密码的问题,我给出了详细的CTF解题思路,包括使用tshark提取密码字段。现在用户直接询问“tshark”,说明他们可能对tshark这个工具还不熟悉,需要更基础的介绍。 首先,我需要确认用户的使用场景。他们可能是在CTF比赛中遇到网络流量分析的任务,或者是在学习网络安全、数据分析。用户可能是刚开始接触tshark,需要了解其基本功能和使用方法,以便在分析流量包时更高效。 接下来,用户的身份可能是CTF参赛者、网络安全新手,或是需要处理网络数据的开发人员。他们对tshark的需求可能包括捕获实时流量、解析协议、过滤特定数据包、提取字段等。此外,用户可能希望了解tsharkWireshark的关系,因为这两个工具经常一起被提到。 用户的真实需求可能不仅仅是tshark的定义,而是如何利用它解决实际问题,比如提取密码、分析协议、自动化处理数据包等。深层需求可能包括如何将tshark与其他工具(如grep、Python脚本)结合使用,以及如何处理常见的编码或隐蔽传输的数据。 需要覆盖tshark的基本介绍、安装方法、常用命令参数、典型使用场景、示例以及注意事项。特别要注意与之前回答的衔接,比如在提取密码时如何结合tshark和grep,或者如何导出HTTP传输的件进行进一步分析。同时,可能需要提醒用户注意编码问题、分片传输等高级技巧,这些在之前的回答中已经提到过,但在这里可以简要提及,并引导用户参考之前的思路。 还要考虑用户可能遇到的常见问题,比如权限问题、过滤语法错误、输出格式的处理等,所以在注意事项里需要提到使用sudo,过滤表达式的正确写法,以及-T fields和-e参数的配合使用。 最后,确保语言简洁明了,结构清晰,分点说明,便于用户快速查找所需信息。示例部分要具体,展示实际命令和输出,帮助用户理解如何应用这些命令。同时,强调tshark作为命令行工具的优势,比如自动化处理、批量分析,这对处理大型流量包尤其重要。</think>以下是关于 `tshark` 的详细介绍,从基础概念到实战应用: --- ### **1. 什么是 TShark?** - **定义**:`tshark` 是 **命令行版本的 Wireshark**,专为网络流量抓取与分析设计,支持协议解析、数据包过滤、字段提取等功能。 - **特点**: - **无图形界面**:适合服务器环境或自动化脚本。 - **高效处理大流量件**:可快速解析GB级数据包。 - **与 Wireshark 兼容**:共享相同的过滤语法和协议解析规则。 --- ### **2. 安装与基础用法** #### **2.1 安装** - **Linux**(Debian/Ubuntu): ```bash sudo apt install tshark ``` - **Windows**:安装 Wireshark 后,`tshark.exe` 位于安装目录(如 `C:\Program Files\Wireshark`)。 #### **2.2 基础命令** - **捕获实时流量**(需权限): ```bash tshark -i eth0 # 捕获网卡eth0的流量 ``` - **读取离线件**: ```bash tshark -r capture.pcap # 解析capture.pcap件 ``` --- ### **3. 核心功能与参数** #### **3.1 过滤数据包** - **显示过滤器**(`-Y`): ```bash tshark -r capture.pcap -Y "http.request.method == GET" # 过滤HTTP GET请求 ``` - **捕获过滤器**(`-f`): ```bash tshark -i eth0 -f "tcp port 80" # 只抓取80端口的TCP流量 ``` #### **3.2 提取字段** - **指定输出字段**(`-T fields -e`): ```bash tshark -r capture.pcap -Y "ftp" -T fields -e ftp.request.command -e ftp.request.arg ``` ```plaintext USER alice PASS p@ssw0rd ``` #### **3.3 统计信息** - **协议分级统计**: ```bash tshark -r capture.pcap -qz io,phs # 输出协议分布(类似Wireshark的协议分级) ``` - **流量TOP N统计**: ```bash tshark -r capture.pcap -qz http_req,tree # 统计HTTP请求方法分布 ``` --- ### **4. 典型应用场景** #### **4.1 提取敏感信息** - **提取HTTP POST密码**: ```bash tshark -r capture.pcap -Y "http.request.method == POST" -T fields -e http.file_data | grep "password=" ``` - **导出传输的件**: ```bash tshark -r capture.pcap --export-objects "http,./dump_dir" # 导出HTTP传输的件到dump_dir目录 ``` #### **4.2 跟踪会话流** - **查看完整TCP流**: ```bash tshark -r capture.pcap -qz follow,tcp,ascii,0 # 显示第0个TCP流的ASCII内容 ``` - **提取DNS查询记录**: ```bash tshark -r capture.pcap -Y "dns" -T fields -e dns.qry.name ``` --- ### **5. 高级用法示例** #### **5.1 自动化分析脚本** - **统计IP访问频率**: ```bash tshark -r capture.pcap -T fields -e ip.src | sort | uniq -c | sort -nr ``` ```plaintext 1000 192.168.1.1 500 10.0.0.2 ``` #### **5.2 结合正则匹配** - **搜索特定格式字符串**(如CTF Flag): ```bash tshark -r capture.pcap -T fields -e text | grep -E "ctf{.*}|flag{.*}" ``` --- ### **6. 常用参数速查表** | 参数 | 说明 | |---------------------|----------------------------------------------------------------------| | `-r <件>` | 读取离线数据包件 | | `-i <接口>` | 指定捕获网卡(如`eth0`) | | `-Y <显示过滤器>` | 过滤数据包(语法同Wireshark) | | `-T <输出格式>` | 指定输出格式(`fields`、`json`、`pdml`等) | | `-e <字段名>` | 提取特定字段(如`http.host`、`ip.src`) | | `-l` | 实时刷新输出(每捕获一个包立即显示) | | `-qz <统计模块>` | 启用统计功能(如`io,phs`、`http_req,tree`) | --- ### **7. 注意事项** 1. **权限问题**:捕获实时流量需 root 权限(Linux)或管理员权限(Windows)。 2. **过滤语法**: - 协议字段用小数点分隔(如`http.request.method`)。 - 比较操作符用 `==`、`contains`(如`dns.qry.name contains "ctf"`)。 3. **输出控制**:使用 `-T fields` 时需配合 `-e` 指定字段,否则无输出。 4. **性能优化**:对大件添加`-n`禁用域名解析可加速分析。 --- 通过 `tshark`,你可以快速实现流量分析的自动化,尤其适合处理CTF题目、入侵取证或批量日志分析。结合管道(`|`)和脚本(如Python、AWK),能进一步释放其潜力!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值