tcpdump抓包结合wireshark进行分析

最新推荐文章于 2024-08-01 21:53:54 发布
最新推荐文章于 2024-08-01 21:53:54 发布
阅读量1.6k 收藏 7
点赞数
分类专栏: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38384924/article/details/99689317
版权

一、简介

如果是在windows环境,可以使用wireshark直接抓包,如果是在linux环境下,可以使用tcpdump命令进行抓包。
tcpdump是Linux系统下的一款抓包命令集,工作原理是基于网卡抓取流动在网卡上的数据包。在Linux系统中由于tcpdump命令的简单和强大,我们一般直接使用tcpdump命令来抓取数据包。保存为.pcap文件后,拖下来在wireshark中分析。

二、主要内容

1、Linux虚拟机及其作用:两个Linux虚拟机,一个用于抓包,一个用于对其进行攻击,从而产生异常流量。正常流量就是系统正常工作时网络中的流量,异常流量是通过网络攻击工具产生的。
2、抓包、分析:在Linux系统中,利用tcpdump进行抓包,抓取3000个正常样本和4种攻击的800个攻击样本,将数据包保存为.pcap文件,在windows系统上,利用wireshark进行分析。
注意:需要为tcpdump添加进程守护,使其一直在后台工作,最后将捕获的数据以文件的形式保存在Linux服务器上。
注意:新建虚拟机不应该使用同一个镜像文件,否则可能只有一台虚拟机可以工作,造成比如一个能上网,另一个上不了。磁盘占用过高可以:在Ubuntu 64 位.vmx文件中添加mainMem.useNamedFile = “FALSE”。多个虚拟机最好不要使用同一个系统镜像。使用SecureCRT连接虚拟机时,拒绝连接,可以sudo apt-get install openssh-server。
注意:LINUX虚拟机和windows主机共享文件,首先要安装VMwaretools,然后设置文件共享。
安装

三、tcpdump抓包和wireshark分析

1、准备工作

首先判断系统中是否有tcpdump,进入Linux终端,输入如下指令,tcpdump,libpcap的版本,以及tcpdump的使用说明。

baichuan@baichuan-virtual-machine:~$ tcpdump -h
tcpdump version 4.9.2
libpcap version 1.8.1
OpenSSL 1.1.1  11 Sep 2018
Usage: tcpdump [-aAbdDefhHIJKlLnNOpqStuUvxX#] [ -B size ] [ -c count ] [ -C file_size ] [ -E algo:secret ] 
[ -F file ] [ -G seconds ] [ -i interface ] [ -j tstamptype ] [ -M secret ] [ --number ] [ -Q in|out|inout ]  [ -r file ] 
[ -s snaplen ] [ --time-stamp-precision precision ] [ --immediate-mode ] [ -T type ] [ --version ] [ -V file ]
 [ -w file ] [ -W filecount ] [ -y datalinktype ] [ -z postrotate-command ] [ -Z user ] [ expression ]

常用的一些参数的解释
-i:指定tcpdump监听的网络接口
-s:指定要监听数据包的长度
-c:指定要监听的数据包数量,达到指定数量后自动停止抓包
-w:指定将监听到的数据包写入文件中保存
-A:指定将每个监听到的数据包以ACSII可见字符打印
-n:指定将每个监听到数据包中的域名转换成IP地址后显示
-nn:指定将每个监听到的数据包中的域名转换成IP、端口从应用名称转换成端口号后显示
-e:指定将监听到的数据包链路层的信息打印出来,包括源mac和目的mac,以及网络层的协议
-p:将网卡设置为非混杂模式,不能与host或broadcast一起使用
-r:指定从某个文件中读取数据包
-S:指定打印每个监听到的数据包的TCP绝对序列号而非相对序列号
-D:列出可用于抓包的接口。将会列出接口的数值编号和接口名,它们都可以用于"-i"后。
-XX:输出数据包的头部数据。
-v :输出一个稍微详细的信息,例如在ip包中可以包括ttl和服务类型的信息;
-vv :输出详细的报文信息;
-vvv:打印和分析的时候,产生非常详细的输出。
-a : 将网络地址和广播地址转变成名字;
-ddd :匹配信息包的代码以十进制的形式给出;
-t :在输出的每一行不打印时间戳;
-p:将网卡设置为非混杂模式,不能与host或broadcast一起使用

查看网卡:得到tcpdump可抓取数据包的网卡列表,利用以下语句:

baichuan@baichuan-virtual-machine:~$ tcpdump -D
1.ens33 [Up, Running] #这是个虚拟网卡,是该服务器的第一块网卡,一般我们tcpdump抓包都使用这块网卡来抓取
2.any (Pseudo-device that captures on all interfaces) [Up, Running]
3.lo [Up, Running, Loopback]
4.bluetooth0 (Bluetooth adapter number 0)
5.nflog (Linux netfilter log (NFLOG) interface)
6.nfqueue (Linux netfilter queue (NFQUEUE) interface)
7.usbmon1 (USB bus number 1)
8.usbmon2 (USB bus number 2)

查看该系统有哪些网卡:ifconfig ,我的系统有两块网卡,我们使用第一块。

baichuan@baichuan-virtual-machine:~$ ifconfig
ens33: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.150.128  netmask 255.255.255.0  broadcast 192.168.150.255
        inet6 fe80::a866:5ef0:1ac9:286c  prefixlen 64  scopeid 0x20<link>
        ether 00:0c:29:ef:72:8e  txqueuelen 1000  (以太网)
        RX packets 7200  bytes 5683226 (5.6 MB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 4048  bytes 511334 (511.3 KB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        inet6 ::1  prefixlen 128  scopeid 0x10<host>
        loop  txqueuelen 1000  (本地环回)
        RX packets 621  bytes 65926 (65.9 KB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 621  bytes 65926 (65.9 KB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

2、tcpdump抓包与wireshark分析

该部分使用tcpdump命令语句抓包,存储为.pcap文件,利用wireshark进行分析
下面是一个tcpdump数据采集命令:
tcpdump -s 84 -G 60 -z./add.sh -w/data/dump/%F.%T.pcap
解释:数据包截取长度为84字节,抓取数据包间隔为60秒,每60秒记录一个新文件,前一个文件被送出进行整理(分析和特征提取)。一分钟保证了数据从采集到整理再到异常检测的流程可以进行完毕;其次过长的时间间隔可能会造成异常流量已经产生危害,失去异常检测的意义。配合之前的G的时间间隔命令,每记录完一个文件,z执行add.sh脚本,把tcpdump命令产生的.pcap文件名写入ready.txt当中。w是将捕获的信息写入到data/dump/%F.%T.pcap文件中。脚本add.sh命令比较简单,为echo $*>>ready.txt(也就是将.pcap的文件名保存在ready.txt中)
守护进程脚本:为保证数据包抓取的长期执行需要,写一个守护进程脚本,将tcpdump写入脚本中。
(1)新建一个guard.sh文件:touch mkdir.sh
(2)编写文件:利用vim工具, vim gurad.sh
(3)编写守护进程脚本:

#! /bin/sh
#进程名字可修改
PRO_NAME=tcp_dump_data
CMD="tcpdump -i ens33 -s 84 -G 60 -w/mnt/hgfs/shares/dump/%F.%T.pcap"
while true ; do
#用ps获取$PRO_NAME进程数量
	NUM=`ps aux | grep -w ${PRO_NAME} | grep -v grep |wc -l`
#echo $NUM
#少于1,重启进程
	if [ "${NUM}" -lt "1" ];then
 		echo "${PRO_NAME} was killed"
		$CMD
#大于1,杀掉所有进程,重启
	elif [ "${NUM}" -gt "1" ];then
		echo "more than 1 ${PRO_NAME},killall ${PRO_NAME}"
		killall -9 $PRO_NAME
		$CMD
	fi
#kill僵尸进程
	NUM_STAT=`ps aux | grep -w ${PRO_NAME} | grep T | grep -v grep | wc -l`
	if [ "${NUM_STAT}" -gt "0" ];then
		killall -9 ${PRO_NAME}
		$CMD
	fi
	sleep 60s
done

设置脚本执行权限 chmod 777 guard.sh
控制台执行则:./guard.sh 这样就会保证始终存在一个xxxx程序的运行。
需要后台持续运行则:nohup ./guard.sh &
得到的.pcap文件如图所示
在这里插入图片描述
在wireshark中的显示
在这里插入图片描述

望百川归海
关注
专栏目录
使用tcpdump+Wireshark抓包分析kafka通信协议
icycode的专栏
04-21 1万+
tcpdump 是Linux平台上网络抓包分析神器,wireshark可用在Windows上以可视化方式直接分析查看tcpdump抓取的数据文件。且wireshark内置支持很多常见应用协议解析,其中就包括kafka通信协议(Wireshark 2.4.0到2.6.0)。因此我们可以通过tcpdump抓取kafka数据包保存到文件,通过wireshark分析学习kafka通信协议...
tcpdump抓包并用于wireshark解析
way2016的博客
03-18 2716
tcpdump抓包工具,wireshark
wireshark+tcpdump+ssh远程抓包并实时显示
热门推荐
koalazoo的专栏
12-11 1万+
wireshark+tcpdump+ssh远程抓包并实时显示 我们平时用的抓包工具一般就是wiresharktcpdump,前者有图形界面,当我们要远程登录到Linux主机抓包时,一般就只能选择tcpdump,并保存为文件,再拉到本地用wireshark打开。 很多时候这样就够了,但是如果希望实时显示远程主机上抓到的包,用tcpdump -X看起来会很痛苦,而想在远程主机上用X跑wiresha...
tcpdump抓包wireshark分析
最新发布
m0_49095704的博客
08-01 387
用简单的话来定义tcpdump,就是:dump the traffic on a network,根据使用者的定义对网络上的数据包进行截获的包分析工具。tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。tcpdump基于底层libpcap库开发,运行需要root权限。
tcpdump抓包Wireshark分析
yizezhong的专栏
02-01 2728
1.tcpdumpWireshark介绍 1.1tcpdump 在网络问题的调试中,tcpdump应该说是一个必不可少的工具,和大部分linux下优秀工具一样,它的特点就是简单而强大。它是基于Unix系统的命令行式的数据包嗅探工具,可以抓取流动在网卡上的数据包。 默认情况下,tcpdump不会抓取本机内部通讯的报文。根据网络协议栈的规定,对于报文,即使是目的地是本机,也需要经过本机的网络协
WiresharkTcpDump抓包分析心得
ctknq的专栏
05-21 1553
WiresharkTcpDump抓包分析心得 分类: Network2010-12-14 20:19 3242人阅读 评论(5) 收藏 举报     1. Wiresharktcpdump介绍  Wireshark是一个网络协议检测工具,支持Windows平台和Unix平台,我一般只在Windows平台下使用Wireshark,如果是Linux的话,我直接用tcpdump了,
wiresharks抓包分析(tcpdump抓包并还原请求体)
mijichui2153的博客
06-15 868
前言:先说下今天遇到的一个问题。和外部门同学对接消息记录拉取,采用的是pb协议,接口机的L5暴露给对方用以拉取。对方请求后表示IO超时没有收到对应回包,于是对方质疑我方有问题。现需要排查原因,更准确说如何找证据打脸对方。 分析:我方业务是相对成熟的,这种问题大概率是对方发过来的请求不对,例如缺少某些字段导致接口机无法将请求转发给后方业务机。注:经过沟通发现对方不能打印请求体(具体原因也不管了)。思路无非如下(其中第二点是此次研究的重点): ①首先tcpdump抓包看看我方究竟有没有收到对方的请求; .
tcpdumpwireshark的简单配合使用
wzjudy的专栏
09-15 7672
预置条件:linux上已有tcpdump客户端并有可执行的权限 ./tcpdump -i any -n port 8443 or host 192.168.4.5 -w test.pcap 该命令是 抓8443端口的数据包或者192.168.4.5的包并生成为pcap文件,可供wireshark 使用 -i 是网卡,any 是所有网卡,也可这样子指定只抓eth0 网卡的包 ./tcpdump...
Android中使用tcpdumpwireshark进行抓包分析技术介绍
09-03
本篇文章将详细介绍如何在Android设备上使用tcpdump进行抓包,以及在PC上使用Wireshark进行数据包分析。 首先,tcpdump是一款开源的网络数据包分析工具,它可以在多个操作系统上捕获网络流量。在Android设备上使用...
【linux】【tcpdump】linux之tcpdump抓包wireshark分析详解
喝酸奶舔盖斯基的专栏
02-22 9940
linux的tcpdump命令主要用于网络问题的调试中,通过抓取传输过程的数据包进行分析和调试。而wireshark则是一款功能强大,使用方便的数据包分析工具,tcpdump+wireshark组合使用,完美,perfect,让网络问题无处遁形。 1 tcpdumpwireshark基本介绍 1.1 tcpdump tcpdump是基于Unix系统的命令行式的数据包嗅探工具,可以抓取流动在网卡上的数据包。默认情况下,tcpdump不会抓取本机内部通讯的报文。根据网络协议栈的规定,对于报文,即使是目的
tcpdump 超时包_tcpdump/wireshark抓包分析
weixin_35933582的博客
01-17 1546
本文将展示如何使用tcpdump抓包,以及如何用tcpdumpwireshark分析网络流量。 文中的例子比较简单,适合作为入门参考。1 基础环境准备为方便大家跟着上手练习,本文将搭建一个容器环境。1.1 Pull Docker镜像$ sudo docker pull alpine:3.81.2 运行容器$ sudo docker run -d --name ctn-1 alpine:3.8 s...
wireshark+tcpdump
09-26
使用wireshark+tcpdump抓取手机数据所需文件
Tcpdump抓包Wireshark 报文分析
sanguine_boy的博客
12-08 1533
linux服务器端口数据报文分析
Linux 抓包分析Tcpdump + Wireshark 的完美组合
yinxiaohui0212的博客
07-06 645
Tcpdump + Wireshark Wireshark是Windows下非常简单易用的抓包工具。但在Linux下很难找到一个好用的图形化抓包工具。 还好有Tcpdump。我们可以用Tcpdump + Wireshark 的完美组合实现:在 Linux 里抓包,然后在Windows 里分析包。 // tcpdump tcpdump tcp -i eth1 -t -s 0 -c 100 and dst port ! 22 and src net 192.168.1.0/24 -w ./target.cap
tcpdumpwireshark使用
weixin_36585549的博客
08-05 1206
tcpdumpwireshark的简单使用
聊聊 tcpdumpWireshark 抓包分析
juary_的专栏
06-24 4275
1 起因 前段时间,一直在调线上的一个问题:线上应用接受POST请求,请求body中的参数获取不全,存在丢失的状况。这个问题是偶发性的,大概发生的几率为5%-10%左右,这个概率已经相当高了。在排查问题的过程中使用到了tcpdumpWireshark进行抓包分析。感觉这两个工具搭配起来干活,非常完美。所有的网络传输在这两个工具搭配下,都无处遁形。 为了更好、更
使用tcpdumpWireshark进行简单TCP抓包分析【图文教程】
qq_42037383的博客
07-19 1382
和都是网络分析工具,用于捕获和分析网络数据包,但它们在功能和使用上有所不同。所以,这两者实际上是搭配使用的,先用 tcpdump 命令在 Linux 服务器上抓包,接着把抓包的文件拖出到 Windows 电脑后,用 Wireshark 可视化分析。如果你是在 Windows 上抓包,只需要用 Wireshark 工具就可以。
linux 版本wireshark_使用tcpdumpwireshark分析tcp流
weixin_39563132的博客
11-28 307
使用tcpdumpwireshark分析tcp流Tcpdump抓包tcpdump -w packets.pcap -n -i eth0 tcp port 60 and dst host 10.22.47.66-i: 指定网络接口-n: 不做域名解析,使用ip-w: 抓包存储为可供wireshark解析的pcap格式tcp port 60 and dst host 10.22.47.66: 条件表...
tcpdumpWireshark基础入门
算法攻城狮
09-02 1403
1 起因 前段时间,一直在调线上的一个问题:线上应用接受POST请求,请求body中的参数获取不全,存在丢失的状况。这个问题是偶发性的,大概发生的几率为5%-10%左右,这个概率已经相当高了。在排查问题的过程中使用到了tcpdumpWireshark进行抓包分析。感觉这两个工具搭配起来干活,非常完美。所有的网络传输在这两个工具搭配下,都无处遁形。 为了更好、更顺手地能够用好这两个工具,特整理本篇文章,希望也能给大家带来收获。为大家之后排查问题,添一利器。 2 tcpdumpWireshark介绍
tcpdump抓包命令 wireshark
06-06
TCPDump是一种在Linux系统上捕获网络流量的工具,而Wireshark是一种在多个平台上捕获和分析网络流量的工具。Wireshark可以读取由TCPDump捕获的网络流量文件,并进行详细的分析和解析。 要使用Wireshark读取TCPDump的网络流量文件,可以按照以下步骤操作: 1. 使用TCPDump捕获网络流量,并将输出保存到文件中,例如: ``` sudo tcpdump -i eth0 -w /tmp/capture.pcap ``` 2. 在使用Wireshark打开捕获的文件时,选择“File” -> “Open”菜单,然后选择保存的文件。 3. Wireshark会打开捕获的文件,并显示所有的捕获数据包。可以使用Wireshark分析工具对数据包进行详细的分析和解析。 需要注意的是,TCPDump只能捕获网络流量,并保存到文件中,而Wireshark可以对捕获的网络流量进行详细的分析和解析。因此,在需要对网络流量进行分析和解析时,建议使用Wireshark
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值