抓包简单使用介绍

前言

部门新人较多，上周给大家做了一个抓包的培训。抓包是我们工作的一个非常常用且有效的方法，但是只有对业务和相关知识了解具体，才对抓包了解更深入。所以现在想，这次培训有点跑偏，内容涉及太广，虽然每种方法都是实际操作给大家展示了一下，但肯定新人可能吸收很少。别浪费了，把内容和文档发给大家，让更多人受益。

 

抓包的意义

部门工作：主要XXX、XX、XXX、cgi、rtmp等，都需要和其他设备配合使用，通过网络来交互相同的协议，抓包就是为了让我们看懂设备之间说了什么。（涉及到具体工作内容，用XXX代替了。）

 

抓包工具

Wireshark：windows抓包使用，和windows客户端通信，windows版本的服务器通信，还有一个就是分析抓包的工具。

tcpdump：linux设备上抓包的工具。

tcpdump.exe：windows抓包工具。

tcpdump.cgi：同时写的脚本，也是linux上抓包的工具，能把文件直接保存在电脑上，嵌入式设备没有空间时非常有效。

 

 

工具使用方法

1、  Wireshark

 

 

 

 

host10.30.41.227   and     tcp    and      port 554，指定IP、协议类型、端口号。这个可以在底层过滤掉不符合的数据，减小抓包文件大小。我们处理音视频较多，所以我差不多每次都加上这个去过滤，电脑性能太差，没办法。

 

 

2、  tcpdump

./tcpdump_v200 -w a.cap host 10.30.41.35 and tcp and port554 -s 98 –v –C 1

-w 写文件

host 指定对端IP

tcp 指定协议

port 指定端口

-s 指定包大小（以字节为单位）

-v 显示抓包数量

-C 按指定大小（以M为单位）保存  不常用

./tcpdump_v200–help

每个指令培训的时候都进行了实际操作并解释。-s再说一下，每一包的所有数据总长度，包括所有层次，Ethernet、tcp、ip等，都加一起的长度，-s 0是不限制大小。

 

3、tcpdump.exe

 

这个工具是网上查到的，当时在上海出差，我们的嵌入式设备和别人服务器连接，大约每24小时tcp连接必断。代码分析了很久感觉没问题，为了找到是谁断开的连接要长时间抓包，嵌入式设备又没有空间，也没有硬盘。刚好服务器是windows版本的，怕wireshark不稳定，就查了一下，找到了这个工具。抓了上百G的包，最后找到断开的原因。关于这个，网上我只看到了一个介绍的特别好。http://www.cnblogs.com/wangqiguo/p/5068602.html ，谢谢这个作者。这里不再赘述。

 

cd C:\Users\huweixu\Desktop

tcpdump.exe –D 显示网卡

tcpdump.exe –i \Device\{FCBD6879-E626-462E-89A9-62CBDAB69CCB}–s 0 –w F:\w\package.cap –C 1 host 10.30.41.39 and tcp and port 554

-i 指定网卡

-s 限制大小

-w 指定写文件路径

-C 按指定大小（单位M）分包保存

host 指定对端IP

tcp 指定协议

port 指定端口

 

4、wireshark自动抓包

 

像上面那个自动分包的功能wireshark里面也有，也好用。

 

 

数据分析方法

协议：tcp、udp、http、xml、rtsp、rtp、sip等

地址：ip.addr==、ip.src==、ip.dst==

端口：tcp.port==、udp.port==

长度：tcp.len > < =

内容：tcp contains”OPTIONS”、xml contains”profiles”

其实这部分才应该是这次培训的重点，虽然实际也讲了一下，但所占篇幅不大。没有长时间的使用，讲完也都会忘了。所以还是实践中自己去感悟比较好。tcp的三次握手四次挥手，大学相关专业肯定老师都讲过，但具体可能老师也不大明白，起码我感觉我们老师是这样的。follow一个tcp连接，三次握手就一幕了然了，至于四次挥手，tcp断开连接知识还是相对多一些，问题也总会出现在断开的地方。现在感觉，三次握手和四次挥手这种说法在给初学者讲的时候并不好，也不知道谁发明的这么low的说法，然后还一直延续下来，也有可能我现在还没理解到那个层次。

 

5、tcpdump.cgi

 

1、  按需求编辑tcpdump.cgi脚本。

2、  使用httpd进行端口监听。最新外挂boa已经没有了最初的cgi功能，所以均使用httpd监听。指令为httpd -p 888 -h /abc/ , -p指定端口，-h指定路径。

3、  在dvr目录下创建cgi-bin文件夹，将tcpdump.cgi脚本放入cgi-bin文件夹下。

4、  把tcpdump文件放入tcpdump.cgi执行的路径。

5、  开始抓包。在浏览器地址栏输入地址，例如:http://10.30.41.227:888/cgi-bin/tcpdump.cgi

6、停止抓包。可以kill tcpdump也可以关闭浏览器。

 

 

6、  网页tcpdump.cgi

有数据交互的时候才会有数据，有保存提示。

5和6是我们一个孙同事写的，我会把文件上传，有兴趣可以看一下。涉及一些知识，起码我不太了结。压缩包当图片上传了，很少写博客也不知道怎么搞比较合理。