本文介绍了网络嗅探的基本概念,以及两种常用工具Wireshark和Tcpdump的使用方法。通过示例展示了如何指定网卡、主机、端口和协议进行抓包,并讲解了如何利用过滤条件进行数据包筛选。同时,提到了如何在Wireshark中分析IPTCPUDP协议,并且说明了赋予普通用户执行Wireshark命令权限的方法。文章还列举了IP地址和端口的过滤表达式实例。
网络嗅探工具:
网络嗅探: 其实就是通过使用网络嗅探工具抓包, 分析和研究,
常用的工具有wireshark和tcpdump.
tcpdump :
1 指定网卡抓包
sudo tcpdump -i ens33 -vv
2 将抓到的包保存到文件中
sudo tcpdump -i ens33 -vv -w ./test.pcap
sudo tcpdump -l > mylog & tail -f mylog
sudo tcpdump -i ens33 -vv -l > mylog & tail -f mylog
3 指定主机--host
sudo tcpdump -i ens33 -vv host 192.168.26.33
4 指定源主机或者目的主机: src dst
sudo tcpdump -i ens33 -vv src 192.168.26.33
sudo tcpdump -i ens33 -vv dst 192.168.26.33
5 抓包时指定端口:port
sudo tcpdump -i ens33 -vv port 21
6 抓包的时候指定协议
sudo tcpdump -i ens33 -vv icmp
sudo tcpdump -i ens33 -vv tcp
sudo tcpdump -i ens33 -vv arp
wireshark
过滤条件:
使用协议: tcp udp
使用IP地址过滤: ip.src==xxxx ip.dst==xxxx ip.addr==xxxxx
使用端口过滤: tcp.port tcp.srcport tcp.dstport
可以使用逻辑运算符: or and !
如何分析IP TCP UDP协议
1 使用wireshark工具抓包
2 对照TCP IP UDP协议进行分析.
如何让普通用户也具有执行wireshark命令的权限.
修改/bin/wireshark /bin/dumpcap 文件的SUID位
sudo chmod u+s /bin/wireshark
sudo chmod u+s /bin/dumpcap
典型ip地址过滤表达式
ip.src==192.168.2.2 指定源ip
ip.dst==112.33.119.129 指定目的ip
ip.addr==112.33.119.129 指定ip,不分源ip和目的ip
ip.src==192.168.2.2 and ip.dst==112.33.119.129 指定源ip并且指定目标ip
ip.src==192.168.2.2 or ip.dst==112.33.119.129 指定源ip或者目标ip
典型端口过滤
tcp.port == 8883
tcp.dstport == 8883
tcp.srcport == 23
扫一扫
811
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
