使用 TCPdump、TShark 和 Wireshark 捕获非空 TCP 包

于 2024-08-18 21:00:42 发布
阅读量201 收藏 5
点赞数 2
分类专栏: Linux 网络工程 运维 文章标签: tcpdump wireshark tcp/ip
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45831414/article/details/141288240
版权
运维 同时被 3 个专栏收录
16 篇文章 0 订阅
订阅专栏
网络工程
9 篇文章 0 订阅
订阅专栏
Linux
7 篇文章 0 订阅
订阅专栏

经验笔记:使用 TCPdump、TShark 和 Wireshark 捕获非空 TCP 包

引言

在进行网络故障诊断或性能分析时,经常需要用到数据包捕获工具来查看网络中的数据流。本笔记将介绍如何使用 TCPdump 和 TShark(Wireshark 的命令行版本)来捕获并分析非空的 TCP 数据包。

工具简介
  • TCPdump:一个开源的命令行工具,用于监听网络接口上的数据包并根据过滤规则捕获数据。
  • TShark:Wireshark 的命令行版本,支持更复杂的过滤器和解析选项。
  • Wireshark:一个图形界面的网络协议分析器,提供丰富的数据包分析功能。
安装

确保您的系统已经安装了这些工具。大多数 Linux 发行版可以通过包管理器轻松安装:

# 对于 Debian/Ubuntu 系统
sudo apt-get install tcpdump tshark wireshark

# 对于 Red Hat/CentOS 系统
sudo yum install tcpdump tshark wireshark
使用 TCPdump 捕获非空 TCP 包

TCPdump 本身并不直接支持 tcp.len 这样的过滤器,但可以通过其他方式实现类似的功能。例如,可以使用 tcp[13] 表示 TCP 包的长度字段,并且不等于 0 来过滤非空 TCP 包:

sudo tcpdump -i eth0 'tcp and not (tcp[13] == 0)'

这里 -i eth0 指定了监听的网络接口,tcp 表示只捕获 TCP 协议的数据包,not (tcp[13] == 0) 表示过滤掉 TCP 长度为 0 的数据包。

使用 TShark 捕获非空 TCP 包

TShark 支持更为直观的过滤语法,可以直接使用 tcp.len 过滤器来捕获非空的 TCP 数据包:

sudo tshark -i eth0 -Y 'tcp.len > 0'

这里 -i eth0 指定了监听的网络接口,-Y 'tcp.len > 0' 使用显示过滤器只捕获长度大于 0 的 TCP 数据包。

使用 Wireshark 捕获非空 TCP 包

如果需要图形界面的帮助,可以使用 Wireshark。打开 Wireshark 并选择要监听的接口,然后在捕获前设置过滤器:

  1. 在捕获选项中设置捕获过滤器:tcp
  2. 在显示过滤器栏输入:tcp.len > 0
小结
  • TCPdump:适合快速捕获数据包,但对于复杂的过滤器支持有限。
  • TShark:结合了命令行的便捷性和 Wireshark 的强大过滤能力,适用于需要复杂过滤的情况。
  • Wireshark:图形界面工具,适合详细分析数据包内容,易于理解和操作。
注意事项
  • 执行这些命令通常需要管理员权限。
  • 捕获的数据可能包含敏感信息,请谨慎处理捕获的数据文件。
  • 在生产环境中使用时,请确保不会影响正常的服务流量。
结语

通过上述方法,您可以有效地捕获非空的 TCP 数据包,这对于网络故障排查和性能分析非常有帮助。希望这篇笔记能为您提供有用的指导!

漆黑的莫莫
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux网络抓分析工具(tcpdumpwireshark
m0_71521555的博客
08-20 1万+
tcpdumpwireshark
几款抓工具tcpdumpwireshark、tshark的简单介绍
caodongfang126的博客
09-14 1662
几款抓工具tcpdumpwireshark、tshark的简单介绍 http://tshare365.com/archives/1295.html
Linux之tshark工具安装和使用
月生的静心苑
12-29 1万+
tshark是一个网络协议分析器。它允许您从实时网络捕获数据数据,或者从以前保存的捕获文件读取数据,或者将这些数据的解码形式打印到标准输出,或者将数据写入文件。TShark的本机捕获文件格式是pcapng格式,这也是Wireshark和其他各种工具使用的格式。如果不设置任何选项,TShark的工作方式将非常类似于tcpdump。它将使用pcap库捕获来自第一个可用网络接口的流量,并在每个接收到的数据的标准输出上显示摘要行。
tcpdump和记录、tshark 过滤抓
05-21 3116
tcpdump
Wireshark 提示和技巧 | 如何合并多个捕获文件
7ACE的博客
05-20 1254
Wireshark 提示和技巧 | 如何合并多个捕获文件
linux下如何使用 tcpdump 进行抓详细教程
热门推荐
王炳明
06-30 4万+
今天要给大家介绍的一个 Unix 下的一个 网络数据采集分析工具,也就是我们常说的抓工具。 与它功能类似的工具有 wireshark ,不同的是,wireshark 有图形化界面,而 tcpdump 则只有命令行。 由于我本人更习惯使用命令行的方式进行抓,因此今天先跳过 wireshark,直接给大家介绍这个 tcpdump 神器。 这篇文章,我肝了好几天,借助于Linux 的 man 帮助命令,我把 tcpdump 的用法全部研究了个遍,才形成了本文,不夸张的说,应该可以算是中文里把 tcpdump.
linux过滤端口抓_linux下的抓工具tsharktcpdump用法
weixin_29609733的博客
12-30 783
网络数据采集分析工具TcpDump的简介顾名思义,TcpDump可以将网络中传送的数据的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。tcpdump就是一种免费的网络分析工具,尤其其提供了源代码,公开了接口,因此具备很强的可扩展性,对于网络维护和入侵者都是非常有用的工具。tcpdump存在于基本的FreeB...
tcpdump 网络抓工具使用及实例参考
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
09-22 4744
前言 tcpdump是一个用于截取网络分组,并输出分组内容的工具。tcpdump凭借强大的功能和灵活的截取策略,使其成为类UNIX系统下用于网络分析和问题排查的首选工具。 另外,tcpdump提供了源代码,公开了接口,因此具备很强的可扩展性。tcpdump存在于基本的Linux系统 中,由于它需要将网络界面设置为混杂模式,普通用户不能正常执行,但具备root权限的用户可以直接执行它来获取网络上的信息。因此系统中存在网络分析工具主要不是对本机安全的威胁,而是对网络上的其他计算机的安全存在威胁。tcpdump
Wireshark TS | Packet Challenge 之 TCP 重传案例分析
7ACE的博客
05-13 1172
Wireshark TS | Packet Challenge 之 TCP 重传案例分析
Linux命令行抓解析工具tshark(wireshark)使用实例解析.txt
10-31
### Linux命令行抓解析工具tshark(wireshark)使用实例解析 #### 知识点一:tsharkWireshark的关系及其安装 - **tsharkWireshark的关系**: - tsharkWireshark的一部分,主要用于命令行下进行网络...
Linux命令行抓解析工具tshark(wireshark)使用实例解析
12-13
### Linux命令行抓解析工具tshark(wireshark)使用实例解析 #### 一、引言 在日常运维或网络安全分析工作中,抓取网络数据并对其进行解析是一项重要的技能。传统的做法是使用`tcpdump`来抓取原始网络数据...
wireshark-tshark 命令详解
04-02
tsharkWireshark的一个命令行版本,它提供了一系列的功能用于网络数据捕获和分析。相比图形界面的Wireshark,tshark更适用于自动化脚本编写和大规模数据分析场景。它支持多种操作系统,括Windows和各种Unix/...
6.9 TShark VS Tcpdump - Wireshark 数据分析实战(第 3 版) - 知乎书店1
08-03
本文将对比两款常用的数据捕获和分析工具——TSharkTcpdump,帮助读者理解它们的特点与区别,以便根据实际需求选择合适的工具。 首先,从操作系统兼容性的角度来看,Tcpdump 主要是在基于 UNIX 的系统上运行...
linux上安装和使用wireshark.pdf
11-05
### 使用Wireshark捕获网络流量 #### 1. 使用`tshark`命令行工具 `tshark`是Wireshark的命令行版本,可以用来捕获网络流量并保存到文件中。例如,以下命令将捕获所有通过`eth0`接口,并且涉及UDP端口1812的流量: ...
tcpdump常用指令
Artisan_w
08-15 631
打印本地主机与Berkeley网络上的主机之间的所有通信数据(nt: ucb-ether, 此处可理解为’Berkeley网络’的网络地址,此表达式最原始的含义可表达为: 打印网络地址为ucb-ether的所有数据)打印ace与任何其他主机之间通信的IP 数据, 但不括与helios之间的数据.也可以指定ip,例如截获所有210.27.48.1 的主机收到的和发出的所有的数据。打印所有源地址或目标地址是本地主机的IP数据。监视所有送到主机hostname的数据。监视指定主机和端口的数据
免费的抓软件wireshark以及简单使用
qq_43700885的博客
08-14 242
过滤之查看‘tcp’类型的,自行输入过滤。抓信息可以在底部菜单栏查看。安装成功后直接打开即可使用。点击‘wan’即可使用
wireshark启动之后找不到本地接口问题
最新发布
weixin_44770477的博客
08-15 385
2、安装wireshake路径下的npacp应用程序,重新点开wireshake接口就显示正常了;1、解决wireshark启动之后找不到本地接口问题,导致无法抓到本地接口报文,如图1。
Socket编程TCP 基础
2301_76293625的博客
08-13 1000
sockaddr 结构, TCPsocket常用API 的讲解,
tcpdumpwireshark使用
07-25
TCPDumpWireshark都是网络抓工具,用于捕获和分析网络数据。它们可以帮助我们在网络层面上监测和调试网络通信。 TCPDump是一个命令行工具,用于在终端中捕获和显示网络数据。它支持多种操作系统,例如Linux、Unix和Mac OS。使用TCPDump,你可以指定网络接口、过滤条件和输出格式等参数来捕获特定的数据TCPDump输出的结果可以直接在终端中查看,也可以保存到文件中供后续分析。 Wireshark是一个图形化界面的网络协议分析工具,支持多种操作系统,括Windows、Mac OS和Linux。它可以捕获网络数据,并以可视化的方式展示捕获到的数据的详细信息。Wireshark提供了强大的过滤和搜索功能,可以根据协议、源地址、目标地址等条件来筛选数据,并提供各种统计和分析功能,如流量统计、协议分析和报文重组等。 使用TCPDumpWireshark可以帮助我们分析网络问题,识别网络瓶颈、排查安全问题以及进行协议分析等。它们是网络工程师和安全研究人员常用的工具之一。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值