一. 安装说明
使用 yum install tcpdump
命令安装tcpdump(同时可以根据个人需求,创建一个文件夹,专门用于存放抓取的数据包文件,后续在该文件夹下执行tcpdump相关命令即可)
二. 抓取文件
-
打开需要抓包的服务器,根据是否存在中间代理服务来判断需要抓包的ip及端口(有中间代理服务,则ip为中间代理服务的ip)
-
举个栗子:抓取网卡eht0 及192.168.168.18ip和8081端口(每个服务器的网卡不一定是eht0,先使用ipconfig查看清楚自己又几个网卡,要监听那个 叫什么名字等)
- 执行命令:
tcpdump -i eht0 -w file.cap host 192.168.168.18 and tcp port 8081
或者tcpdump -i ens192 host 192.168.168.18 and tcp port 8081 -w file.cap
- -w:参数指定将监听到的数据包写入文件中保存,file.cap就是该文件
- -i :参数指定tcpdump监听的网络界面
- 执行命令:
-
使用sz、rz命令实现服务器跟本地文件交互
- rz中的r意为received(接收),输入rz时,意为服务器接收文件,即将文件从本地上传到服务器
- sz中的s意为send(发送),输入sz时,意为服务器要发送文件,既从服务器发送文件到本地,或是说本地从服务器上下载文件
- 注意:使用rz、sz的前提是服务器安装lrzsz:
yum install lrzsz
三. 分析文件
- Wireshark下载地址:http://www.onlinedown.net/soft/2883.htm
- 使用Wireshark工具分析抓取的file.cap文件
- 同时为了更准确的定位问题,可以对抓取的包进行过滤分析:https://blog.csdn.net/wojiaopanpan/article/details/69944970