tcpdump抓包及tshark解包方法介绍

最新推荐文章于 2025-04-02 13:57:59 发布
最新推荐文章于 2025-04-02 13:57:59 发布
阅读量2.7k 收藏 10
点赞数
分类专栏: 计算机网络 文章标签: wireshark 计算机网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010698107/article/details/112727035
版权

tshark是wireshark的命令行工具,通过shell命令抓取、解析报文。tcpdump是Linux系统下的抓包工具。wireshark和tcpdump都共同使用 libpcap作为其底层抓包的库,tshark也可以抓取报文。

有时候需要在linux系统或者ARM开发板中进行抓包,使用tcpdump抓包更加方便,在这种场景下,一般使用tcpdump进行抓包,然后在Windows中使用wireshark来分析生成的包文件,在自动化分析或者自动化测试中,可以使用tshark来进行包解析。本文介绍使用tcpdump抓取报文后使用tshark进行报文解析。

安装

wireshark下载安装
wireshark官网:https://www.wireshark.org/download.html

# linux
yum -y install wireshark
yum -y install tcpdump

帮助信息

$ tcpdump -h

查看可用端口:

$ tcpdump -D
1.ens33
2.ens37
3.veth2424bf4
4.any (Pseudo-device that captures on all interfaces)
5.lo [Loopback]

tcpdump

tcpdump官方文档:https://www.tcpdump.org/index.html#documentation

常用参数

  • -i interface :指定抓包接口,tcpdump -i eth1
  • -c count:抓取包个数,tcpdump -c 5 -i eth0 仅抓取5个包
  • -w file:保存
  • -A:ASCII码形式打印报文
  • -XX:HEX 和 ASCII形式显示报文

抓包

抓取eth1网卡数据包,数据写入文件/tmp/packet.pcap

tcpdump -i eth1 -w /tmp/packet.pcap  >/dev/null 2>&1 &

其中

  • >/dev/null:将标准输出(控制台输出)重定向到/dev/null中,/dev/null代表 linux 的空设备文件。表示不输出内容
  • 2>&1:重定向绑定,错误输出(2)和标准输出(1)输出到同一个地方
  • >/dev/null 2>&1的作用就是丢弃标准输出和错误输出,不会输出任何信息到控制台。

也可以只抓取特定协议的报文,比如过滤tcp报文:

tcpdump -i eth1 tcp

抓取指定端口的报文

tcpdump -i eth1 port 22

抓取指定源IP的报文

tcpdump -i src 192.168.0.1

抓取指定目的IP的报文

tcpdump -i dst 192.168.0.1

停止抓包

如果没有限制 tcpdump 抓包的数量(-c 参数),tcpdump 会持续抓包。可以通过 Ctrl+C 来停止抓包,或者杀掉tcpdump进程:

killall -9 tcpdump

杀掉tcpdump进程后会停止抓包。

读取报文

$ tcpdump -r packet.pcap
reading from file packet.pcap, link-type EN10MB (Ethernet)
20:47:07.732570 IP 192.168.2.103.53074 > 69.173.159.48.https: Flags [F.],
最低0.47元/天 解锁文章
网络抓包解包方法分享
学无止境
05-07 1678
WireShark使用
TCP/IP 网络数据封包和解包
bcbobo21cn的专栏
12-30 5099
这是一个网上的代码;下面列出资料并简略分析代码; TCP/IP 网络数据封包和解包  .   TCP/IP 网络数据以流的方式传输,数据流是由包组成,如何判定接收方收到的包是否是一个完整的包就要在发送时对包进行处理,这就是封包技术,将包处理成包头,包体   包头是包的开始标记,整个包的大小就是包的结束标记。接收方只要按同样的方式解包即可,下面是一个网络服务端和客户端程序代码。
关于fi dd ler 手机抓包 网卡地址地址_linux 抓包工具tcpdumptshark
weixin_39999859的博客
10-22 217
yum -y install tcpdump有时候我们发现网卡流量很高,可能超出你们平时的预期,比如说我们就买了10m宽带,平时的话就跑个5M 6M,今天实际上跑满了 很明显有波动,这个时候你肯定想看,到底是什么数据占我们这个网卡,把我们的带宽跑满了,这个时候要抓下包[root@tufei ~]# tcpdump /不加-nn的效果[root@tufei ~]# tcpdump -nn //查看...
揭秘最为知名的黑客工具之一:Tshark(网络流量分析利器),从零基础到精通,收藏这篇就够了
最新发布
Javachichi的博客
04-02 984
Tshark是一款功能强大、灵活高效的网络流量分析工具, 无论是日常网络排查,还是复杂的安全事件分析,它都能派上大用场。掌握 Tshark,你不仅可以高效地分析流量, 还能通过自动化流程提升工作效率,成为真正的网络安全专家!记住,技术是把双刃剑,切勿用于非法用途!黑客/网络安全学习包资料目录成长路线图&学习规划配套视频教程SRC&黑客文籍护网行动资料黑客必读书单面试题合集因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享。
python抓包解包_Python—网络抓包解包(pcap、dpkt)
weixin_39691055的博客
12-02 709
pcap安装[root@localhost ~]# pip install pypcap抓包解包# -*- coding:utf-8 -*-import pcap, dpktimport re, threading, requests__black_ip = ['103.224.249.123', '203.66.1.212']# 抓包:param1 eth_name 网卡名,如:eth0,et...
wireshark抓包分析——TCP/IP协议
weixin_34205826的博客
08-29 1万+
本文来自网易云社区当我们需要跟踪网络有关的信息时,经常会说“抓包”。这里抓包究竟是什么?抓到的包又能分析出什么?在本文中以TCP/IP协议为例,简单介绍TCP/IP协议以及如何通过wireshark抓包分析。Wireshark 是最著名的网络通讯抓包分析工具。功能十分强大,可以截取各种网络封包,显示网络封包的详细信息。Wireshark下载安装,略。注意,若在Windows系统安装Wireshar...
Android Tcpdump抓包WireShark解码数据
sz66cm 学习随笔
10-13 1592
tcpdump H264 android WireShark
python解包dump,tcpdump抓包tshark解包方法介绍
weixin_42198780的博客
03-26 1256
tsharkwireshark的命令行工具,经过shell命令抓取、解析报文。tcpdump是Linux系统下的抓包工具。wiresharktcpdump都共同使用 libpcap做为其底层抓包的库,tshark也能够抓取报文。html有时候须要在linux系统或者ARM开发板中进行抓包,使用tcpdump抓包更加方便,在这种场景下,通常使用tcpdump进行抓包,而后在Windows中使用w...
Centos6.5下使用tcpdump抓包并用wireshark分析
成长之路
04-25 1万+
在Centos6.5下通过使用tcpdump抓包wireshark分析包,初步了解抓包解包。 原创文章欢迎转载,请保留出处。 若有任何疑问建议,欢迎回复。 邮箱:Maxwell_nc@163.com
Python Scapy 报文构造和解析
测试开发小记
02-19 1万+
目录下载安装Scapy 的使用DHCPv6报文构造发送报文1. 只发不收2. 发且收报文过滤 Scapy是一款强大的交互式数据包处理工具、数据包生成器、网络扫描器、网络发现工具和包嗅探工具。能灵活地构造各种数据包、发送数据包、包嗅探、应答和反馈匹配等功能。 下载安装 官网:https://scapy.net/ github地址:https://github.com/secdev/scapy 官方文档:https://scapy.readthedocs.io/en/latest/ pip install sc
抓包工具 抓包解包分析
07-28
抓包 解包 分析 明文显示在16进制数据的什么地方呢? 因为数据块部分是包裹在传输层里面的,所以它的外面肯定是传输层的东西,譬如TCP, TCP的最靠里面的部分是12字节的Options字段,他在16进制数据里是以01 01 开头计算的12个字节,在这12个字节以后就是我们想要的原始数据了
python3 抓包 解包_Python结构包,解包
从零开始的教程世界
07-15 1163
python3 抓包 解包Python struct module is capable of performing the conversions between the Python values and C structs, which are represented as Python Strings. Python struct 模块能够执行Python值和C结构之间的转换,这些值用Py...
python 抓包解包
热门推荐
医然
07-19 4万+
我使用的环境为:Windows10、python3.6、scapy 2.4.0 下面是代码: import os from scapy.all import sniff,wrpcap,Raw,IP,TCP def scanMacIp(): ''' scapy扫描获取局域网主机mac和ip ''' from scapy.all import srp, Ether, AR...
tshark 分割、合并、过滤 数据包命令
科技追踪者的专栏
01-06 1万+
1、把后两个数据包并到一个数据包merge.pcap mergecap -w merge.pcap 1.pcap 2.pcap   2、按照radius条件过滤数据包 tshark -r 1.pcap radius -w radius.pcap   3、按照数据包数分割一个大的数据 editcap -c 1000000 merge.pcap split01.pca
微信小程序抓包与逆向+微信小程序反编译教程+解包教程+解包工具
小小白哈喽的博客
11-11 1万+
下面的操作,都是在cmd命令窗口中操作的,需要强调的是,必须在wxapxxxxker路径里才可以,简易方法是,直接在【wxapxxxer】文件夹的地址栏里输入cmd即可。上来先梭哈分析,毕竟预约嘛,那肯定需要分析包,当开始抓包的哪一个,心里默念了很多我 ** 你的大 **那该怎么办,单子接了,不能放弃。网上有很多教程,是用root过的手机提取小程序包,其实不用那么麻烦,直接用微信PC客户端就可以了。说明你找的小程序,是大神开发的,已经做了反编译的安全措施,所以解密失败,这也是我发这篇文章的目的。
TCP/IP协议抓包分析
lyouhuan的博客
05-31 7603
TCP/IP协议抓包分析
TCP协议之Data解析
loveheronly的专栏
09-26 6182
TCP抓包的数据如下【用wireshark抓包的】: 可以看到该包的十六进制数据为:00 00 00 1c 00 00 00 01 61 67 65 6e 74 31 31 31 31 31 00 31 32 33 00 41 41 43 43 00  如何解析该数据呢? 由于00 00 00 1c ----------1*16+12=28         00 00 00 01
tcpdump抓包+wireshark解包
bob_tthp的博客
06-16 2191
首先tcpdump  -XvvennSs 0 -i eth0 tcp[20:2]=0x4745 or tcp[20:2]=0x4854 -w http.pcap  只抓http的包 -w  导出*.pcap 用wireshark分析用抓包选项: -c:指定要抓取的包数量。注意,是最终要获取这么多个包。例如,指定"-c 10"将获取10个包,但可能已经处理了100个包,只不过只有10个包是满足条件的...
破解隔壁wifi的实践——网络攻击,抓取握手包,解包
qq_53058639的博客
03-09 6845
两种思路的方法:1,python脚本试密码2,网络攻击,抓取握手包,解包。本篇博客介绍 网络攻击,抓取握手包,解包。这个思路的方法,目前为止碍于我硬件的问题我也还没有成功,我将整个过程的思路和遇到的坑,以及中间过程收集到的资源分享出来,供参考借鉴。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值