Tcpdump抓包与Wireshark 报文分析

已于 2023-12-15 02:19:03 修改
阅读量1.1k 收藏 8
点赞数 1
文章标签: tcpdump wireshark
于 2023-12-08 16:14:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sanguine_boy/article/details/134836443
版权

Tcpdump抓包与Wireshark 报文分析

一、Tcpdump

1、概念需知

  TCPDump可以将网络中传送的数据包完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。
  linux服务器上使用tcpdump来抓包,服务器端提前开启端口的监听。建议提前关闭防火墙或者设置好策略。
辅助工具nc:
  nc是netcat的简写,是一个功能强大的网络工具。nc命令在linux系统中实际命令是ncat,nc是软连接到ncat,nc的主要命令如下。

1.实现任意TCP/UDP端口的侦听,nc可以作为server以TCP或UDP方式侦听指定端口
使用nc命令在服务器上开启1234的端口监听

[root@gfqh-ctp-test ~]# nc -l 1234

另外打开一个服务器连接查看端口是否启动

#可以看到,1234端口的监听已经开启。第一个是ipv4的,第二个是ipv6的
[root@gfqh-ctp-test ~]# netstat -anp |grep 1234
tcp        0      0 0.0.0.0:1234            0.0.0.0:*               LISTEN      192881/nc
tcp6       0      0 :::1234                 :::*                    LISTEN      192881/nc

2、linux服务器(Centos7.9)安装tcpdump

#查看是否安装了tcpdump
[root@gfqh-ctp-test ~]# whereis nc
nc: /usr/bin/nc /usr/share/man/man1/nc.1.gz
[root@gfqh-ctp-test ~]# whereis tcpdump
tcpdump: /usr/sbin/tcpdump /usr/share/man/man8/tcpdump.8.gz
#上面是已经安装好了的,没有安装的需要进行安装
[root@gfqh-ctp-test ~]# yum -y install tcpdump nc

3、对服务器进行抓包

用客户端的telnet端口去连接或者需要抓包的端口在服务器已有现成的接口被连接则不需要telent
(1)确认需要抓包的服务器网卡
在这里插入图片描述
(2)用tcpdump命令进行抓包
只抓网卡ens0的tcp协议包,并且主机是192.168.x.x端口是1234的数据报文,将抓包文件保存到家目录下命名为tcpdump文件

tcpdump tcp -i eth0 and host 192.168.xx.xx and port 12345 -w ~/tcpdump

此时,客户端向服务器端口1234发送的数据就会被tcpdump抓取到

二、Wireshark

1、tcp协议—三次握手、四次挥手

TCP运输连接有以下三个阶段:

  • 建立TCP连接,也就是通过三报文握手来建立TCP连接。
  • 数据传送,也就是基于已建立的TCP连接进行可靠的数据传输。
  • 释放连接,也就是在数据传输结束后,还要通过四报文挥手来释放TCP连接。

1.1 tcp的三次握手

在这里插入图片描述
客户端:“在?”(第一次)

服务器:“在,上”(第二次,如果这时候服务器一个人上了,可能被卖。)

客户端:“上!”(第三次,这个时候服务器就可以上了)
总结:
① 首先客户端向服务器发送一个 SYN 包,并等待服务器确认,其中:

  • 标志位为 SYN,表示请求建立连接;
  • 序号为 Seq = x(x 一般取随机数);
  • 随后客户端进入 SYN-SENT 阶段。
    ② 服务器接收到客户端发来的 SYN 包后,对该包进行确认后结束 LISTEN 阶段,并返回一段 TCP 报文,其中:
  • 标志位为 SYN 和 ACK,表示确认客户端的报文 Seq 序号有效,服务器能正常接收客户端发送的数据,并同意创建新连接;
  • 序号为 Seq = y;
  • 确认号为 Ack = x + 1,表示收到客户端的序号 Seq 并将其值加 1 作为自己确认号 Ack 的值,随后服务器端进入 SYN-RECV 阶段。
    ③ 客户端接收到发送的 SYN + ACK 包后,明确了从客户端到服务器的数据传输是正常的,从而结束 SYN-SENT 阶段。并返回最后一段报文。其中:
  • 标志位为 ACK,表示确认收到服务器端同意连接的信号;
  • 序号为 Seq = x + 1,表示收到服务器端的确认号 Ack,并将其值作为自己的序号值;
  • 确认号为 Ack= y + 1,表示收到服务器端序号 seq,并将其值加 1 作为自己的确认号 Ack 的值。
  • 随后客户端进入 ESTABLISHED。
    当服务器端收到来自客户端确认收到服务器数据的报文后,得知从服务器到客户端的数据传输是正常的,从而结束 SYN-RECV 阶段,进入 ESTABLISHED 阶段,从而完成三次握手。
    详解:
    (1)TCP连接时向TCP服务器进程发送TCP连接请求报文段,并进入同步已发送状态。
    在这里插入图片描述
  • TCP 连接请求报文段首部中的同步位SYN被设置为1,,表明这是一个tcp连接请求报文段。
  • 序号字段seq被设置了一个初始值x作为TCP客户进程所选择的初始序号。
      由于TCP连接建立是由TCP客户进程主动发起的,因此称为主动打开连接。 请注意TCP规定SYN被设置为1的报文段不能携带数据但要消耗掉一个序号。
    (2)TCP服务器进程收到TCP连接请求报文段后,如果同意建立连接,则向TCP客户进程发送TCP连接请求确认报文段,并进入同步已接收状态。
    在这里插入图片描述
  • 该报文段首部中的同步位SYN和确认位ACK 都设置为1,表明这是一个TCP连接请求。
  • 序号字段seq被设置了一个初始值y,作为TCP服务器进程所选择的初始序号。
  • 确认号字段ack的值被设置成了x+1,这是对TCP客户进程所选择的初始序号seq的确认
    请注意这个报文段也不能携带数据,因为它是SYN被设置为一的报文段但同样要消耗掉一个序号。
    (3)TCP客户进程收到TCP连接请求确认报文段后,还要向TCP服务器进程发送一个普通的TCP 确认报文段并进入连接已建立状态。
    在这里插入图片描述
  • 该报文段首部中的确认位ACK被设置为1,表明这是一个普通的TCP确认报文段 。
  • 序号字段seq 被设置为x+1,这是因为TCP客户进程发送的第一个TCP报文段的序号为x,并且不携带数据,因此第二个报文段的序号为x +1。
  • 确认号字段ack被设置为y + 1,这是对TCP服务器进程所选择的初始序号的确认。
      请注意TCP规定,普通的TCP确认报文段可以携带数据。但如果不携带数据则不消耗序号,在这种情况下所发送的下一个数据报文段的序号仍是x + 1
      TCP服务器进程收到该确认报文段后也进入连接已建立状态,现在TCP双方都进入了连接已建立状态,他们可以基于已建立好的TCP连接进行可靠的数据传输了。

1.2 tcp的四次挥手

在这里插入图片描述

  • 首先客户端要关闭连接,先把报文中标志位FIN置为1,然后向服务端发送FIN报文表示要关闭连接.之后客户端进入FIN_WAIT1状态
  • 服务端收到客户端发来的FIN报文之后,内核会自动回复一个ACK给客户端,之后服务端进入CLOSED_WAIT状态.
  • 等待服务端进程调用close函数,也就是等待服务端处理完数据之后,服务端在给客户端发送FIN报文表示请求断开连接,之后服务端进入LAST_ACK状态
  • 客户端收到服务端发来的FIN报文之后,会回复最后一个ACK报文,客户端进入TIME_WAIT状态,2MSL后,进入closed状态 (注意只有主动关闭连接的一方才会有TIME_WAIT状态)
  • 服务端接收到客户端的最后一个ACK报文后,就会进入closed状态,关闭连接

2、tcpdump抓取的报文分析

(1)下载wireshark客户端程序并安装https://www.wireshark.org/download.html
在这里插入图片描述
(2)将上面抓取到的报文文件tcpdump,拖拽到wireshark里面进行查看
在这里插入图片描述
通过wireshark的视图-着色规则查看颜色的意思
在这里插入图片描述

粗略来说,黑色背景代表报文的各类错误,红色背景代表各类异常情景,其它颜色代表正常。
(3)下面这张图是对wireshark报文各个字段的分析(重点)
在这里插入图片描述
在这里插入图片描述

  • 备注:wireshark过滤报文小技巧
    1、使用tcp contains “979258” 筛选需要查找的内容在这里插入图片描述
    2、IP地址过滤
    ip.addr192.168.1.114 //筛选出源IP或者目的IP地址是192.168.1.114的全部数据包。
    ip.src    192.168.1.114 //筛选出源IP地址是182.254.110.91的数据包
    ip.dst==192.168.1.114 //筛选出目的地址是192.168.1.114的数据包。

端口过滤
tcp.port80 //根据TCP端口筛选数据包,包括源端口或者目的端口
tcp.dstport80 //根据目的TCP端口筛选数据包。
tcp.srcport80 //根据源TCP端口筛选数据包。
udp.port4010 //根据UDP端口筛选数据包,包括源端口或者目的端口
udp.srcport4010 //根据源UDP端口筛选数据包。
udp.dstport4010 //根据目的UDP端口筛选数据包。

3、逻辑条件组合筛选
逻辑表达式汇总:

字符注释
||逻辑或
&&逻辑与
!逻辑非
//逻辑与筛选方法

命令:ip.src==192.168.1.114&&ip.dst==180.114.144.101
或(ip.src==192.168.1.114&&(ip.dst==121.114.244.119)

含义:筛选出源ip地址是192.168.1.114并且目的地址是180.114.144.101的数据包。

//逻辑或筛选

命令:ip.src==192.168.1.114||ip.src==182.254.110.91

含义:筛选出源IP地址是192.168.1.114或者源ip地址是182.254.110.91的数据包

//逻辑非筛选

命令:!(ip.addr==192.168.1.114)

含义:筛选出不是192.168.1.114的数据包。
sanguine_boy
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Wireshark数据包分析(详细解析)
weixin_51957047的博客
04-01 3万+
wireshark数据包分析 Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。 数据包分析器又名嗅探(Sniffers),是一种网络流量数据分析的手段,常见于网络安全领域使用,也有用于业务分析领域,一般是指使用嗅探器对数据流的数据截获与分组分析(Packet analysis)。 wireshark下载地址 https://www.wires
TCPDump抓包然后Wireshark进行分析
hongchangfirst
10-19 1807
在服务器上输入下面的命令, 会讲eth0网卡上面,端口号是443的tcp流量都存入zhc.data文件。 sudo tcpdump -i eth0 -w ~/zhc.data port 443 Ctrl + C ^C192 packetscaptured 194 packetsreceived by filter 0 packets droppedby kernel 然后将zh
tcpdumpwireshark 抓包分析(小白快速上手)
热爱数据库的小胖
01-23 1865
网络世界中的数据包一般都是不可见的,导致在学习计算机网络的时候会觉得其非常抽象,加大了学习的难度。自从有了网络包分析工具:tcpdumpWireshark,使不可见的数据包得以可视化。问题:tcpdumpwireshark 有什么区别?tcpdumpwireshark 是最常用的网络抓包分析工具,更是分析网络性能必不可少的利器。1)tcpdump 仅支持命令行格式使用,常在 Linux 服务器中抓取和分析网络包;
Wireshark抓包:详解TCP三次握手报文内容_tcp三次握手抓包(1)
最新发布
2401_84715513的博客
05-17 427
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上软件测试知识点,真正体系化!由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新需要这份系统化的资料的朋友,可以戳这里获取由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新**需要这份系统化的资料的朋友,可以戳这里获取。
使用Wireshark软件抓包分析报文
weixin_43399489的博客
09-08 2856
报文分析软件的工作原理主要是。网卡有四种模式:广播、组播、直接、混杂。网卡通常的缺省工作模式是。
全网最全tcpdumpWireshark抓包实践
青梅煮酒
06-08 3184
1、介绍wireshark的基本使用,涉及过滤器,抓包方式等 2、介绍tcpdump的基本使用以及参数说明
利用Tcpdump抓包结合Wireshark分析
qq_43568915的博客
02-24 4179
利用Tcpdump抓包结合Wireshark分析
网络抓包分析--tcpdumpWireshark的使用
事后不诸葛的博客
01-08 4693
目录 前言 tcpdumpWireshark的介绍 tcpdump的使用 Wireshark的使用 前言 tcpdumpWireshark的介绍 tcpdump的使用 Wireshark的使用
tcpdumpWireshark基础入门
算法攻城狮
09-02 1364
1 起因 前段时间,一直在调线上的一个问题:线上应用接受POST请求,请求body中的参数获取不全,存在丢失的状况。这个问题是偶发性的,大概发生的几率为5%-10%左右,这个概率已经相当高了。在排查问题的过程中使用到了tcpdumpWireshark进行抓包分析。感觉这两个工具搭配起来干活,非常完美。所有的网络传输在这两个工具搭配下,都无处遁形。 为了更好、更顺手地能够用好这两个工具,特整理本篇文章,希望也能给大家带来收获。为大家之后排查问题,添一利器。 2 tcpdumpWireshark介绍
如何使用wireshark分析报文
m0_63902994的博客
07-19 3812
Wireshark的专家信息是非常强大的一个分析模块,分别对错误、警告、注意、聊天等数据信息做出分类和注释,对网络故障分析提供了强有力的信息依据,让你准确快速地判断出故障点,并进行下一步处理。当选择列表选中“错误”,专家信息窗口就只显示错误数据信息,可以清晰地看到错误数据包的概述摘要,分组,协议类型和包的数量等各类型的注释。同样,在选择“警告”会单独显示其数据信息,左边的数字是数据包的序列号,协议类型和数据包的数量等,不在做过多解释。
tcpdump抓包Wireshark分析
yizezhong的专栏
02-01 2702
1.tcpdumpWireshark介绍 1.1tcpdump 在网络问题的调试中,tcpdump应该说是一个必不可少的工具,和大部分linux下优秀工具一样,它的特点就是简单而强大。它是基于Unix系统的命令行式的数据包嗅探工具,可以抓取流动在网卡上的数据包。 默认情况下,tcpdump不会抓取本机内部通讯的报文。根据网络协议栈的规定,对于报文,即使是目的地是本机,也需要经过本机的网络协
tcpdump命令详解
热门推荐
wj31932的博客
06-05 11万+
本文介绍tcpdump的命令常用格式,参数详解和常见用法技巧范例,并有解决具体问题的实例。是全网最好的入门教程,从命令格式,参数说明,用法范例到解决问题实例,一步步深入说明。
tcpdump命令和Wireshark分析工具
yhc166188的博客
12-30 305
linux下抓包命令 查看通信端口数据抓包 测试环境下输入命令:tcpdump-s2048port9811-Ann 可以检查xml数据包 tcpdump-s2048port9811-Xnn 可以查看十六进制数据包 tcpdump -s 2048 -AA port 5092 -i any tcpdump -s 2048 -AA port 5092 -...
EthrCAT抓包报文分析.docx
03-18
EtherCAT抓包一般使用Wireshark软件抓取和分析EtherCAT报文,针对不同的情况有以下三种抓包方式: 1. 普通PC机或可以运行Wireshark软件的工业电脑作为EtherCAT主站,直接在电脑上运行Wireshark软件抓包。 2. 使用...
Linux下使用tcpdump抓包的实现方法
01-11
很多时候我们的系统部署在Linux系统上面,在一些情况下定位问题就需要查看各个系统之间发送数据报文是否正常,下面我就简单讲解一下如何使用tcpdump抓包 tcpdump是Linux下面的一个开源的抓包工具,和Windows下面的...
Android中使用tcpdumpwireshark进行抓包分析技术介绍
01-05
本文主要介绍如何使用tcpdumpwireshark对Android应用程序进行抓包分析,需要说明的是在抓包之前,你的Android设备必须root过了,另外你的电脑必须有Android SDK环境。 下载并安装tcpdump tcpdump链接:...
Tcpdump & Wireshark
06-05
**报文抓包** 网络报文是网络通信的基本单位,包含源和目标地址、端口号、协议类型以及数据等信息。抓包就是记录这些在网络中传输的报文,以便分析网络状况。TcpdumpWireshark可以捕获到TCP、UDP、ICMP等各种...
TCP与TLS数据报文抓包
03-18
1、生成 wireshark 工具可读取的 capture.pcap 抓包文件; 2、学习 “DNS解析步骤”报文结构; 3、学习 “TCP三次握手”报文结构; 4、学习 “TLS握手与秘钥协商” 等过程。 详细介绍,可参考我的技术文章: 一文...
使用tcpdumpwireshark进行服务器抓包分析
wq10_12的博客
04-02 1660
服务器抓包分析是一种非常常见和有效的网络故障排查和性能优化手段。通过捕获服务器上的网络流量,可以帮助我们深入了解服务器与其它设备之间的通信情况,发现问题并进行相应的优化。tcpdump是一款非常常用的网络抓包工具,可以在命令行环境下捕获并解析网络流量。它支持多种协议,并提供了丰富的过滤选项,可以帮助我们捕获到需要的网络数据。其中,`-i eth0`指定了要捕获的网络接口,`-n`表示不对IP和端口进行解析,而是直接显示原始的IP地址和端口号,`tcp`表示只捕获TCP流量。
linux 网络抓包工具wireshark
07-31
[1]与Wireshark相似的工具还有tcpdump,它也可以用来抓包,但是相比于Wiresharktcpdump的数据包分析能力较弱。因此,我们可以使用tcpdump将数据包抓取并存储到自定义的文件(.pcap)中,然后使用Wireshark进行...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值