今天需要在cpe上抓取经过usb0网口的分组内容,流程可简单分为两步:1、采用tcpdump进行抓包,保存到一个命名为xx.pcap的文件中;2、在windows系统下用
wireshark工具打开xx.pcap文件进行分析。现将详细步骤记录如下,以作备份:
1> 在http://www.tcpdump.org下载tcpdump源码;
2> 编译服务器上用交叉编译工具链编译源码,生成tcpdump的二进制文件;
3> 将二进制文件用tftp导入CPE大板上;
4> 给tcpdump文件添加执行权限;
5> 执行命令tcpdump -i usb0 -w xx.pcap&进行抓包;
6> 执行killall tcpdump停止抓包;
7> 用tftp导出xx.pcap文件;
8> 运用wireshark分析抓取的报文。
另附上网上一篇易懂好文
常见的抓包分析工具有:微软的Network Monitor和Message Analyzer、Sniff、WSExplorer、SpyNet、iptools、WinNetCap、WinSock Expert、Wireshark和linux的tcpdump等工具
今天,做了实验测试就对比分析其中的两款,其他的大家可以百度谷歌测试一哈^_^
1. Wireshark与tcpdump介绍
Wireshark是一个网络协议检测工具,支持Windows平台和Unix平台,我一般只在Windows平台下使用Wireshark,如果是Linux的话,我直接用tcpdump了,因为我工作环境中的Linux一般只有字符界面,且一般而言Linux都自带的tcpdump,或者用tcpdump抓包以后用Wireshark打开分析。
在Windows平台下,Wireshark通过WinPcap进行抓包,封装的很好,使用起来很方便,可以很容易的制定抓包过滤器或者显示过滤器,具体在下面介绍。Wireshark是一个免费的工具,只要google一下就能很容易找到下载的地方。
tcpdump是基于Unix系统的命令行式的数据包嗅探工具。如果要使用tcpdump抓取其他主机MAC地址的数据包,必须开启网卡混杂模式,所谓混杂模式,用最简单的语言就是让网卡抓取任何经过它的数据包,不管这个数据包是不是发给它或者是它发出的,点击【http://en.wikipedia.org/wiki/Promiscuous_mode】获取更多有关混杂模式的资料。一般而言,Unix不会让