将 Tcpdump 输出内容重定向到 Wireshark

已于 2024-08-07 08:47:57 修改
阅读量1.1k 收藏 30
点赞数 30
分类专栏: Linux 文章标签: tcpdump wireshark
于 2024-08-06 16:12:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41989013/article/details/140944815
版权

在 Linux 系统中使用 Tcpdump 抓包后分析数据包不是很方便。

通常 Wireshark 比 tcpdump 更容易分析应用层协议。

一般的做法是在远程主机上先使用 tcpdump 抓取数据并写入文件,然后再将文件拷贝到本地工作站上用 Wireshark 分析。

还有一种更高效的方法,可以通过 ssh 连接将抓取到的数据实时发送给 Wireshark 进行分析。

经过我的测试,已经实现把 Tcpdump 抓到的数据包转到 Windows 环境中用 Wireshark 打开。

方式1:数据包文件的拷贝

思路:Tcpdump 抓包并保存包数据文件,再把保存的包数据文件拷贝到 Windows 中,最后使用 Windows 上安装的 Wireshark 打开包数据文件。

使用工具:Xshell (使用 Xshell 连接远程主机)+ Xftp (把远程主机上的包数据拷贝到本地)

使用 Xshell 和 Xftp 连接远程主机的过程省略……

假设你已经很熟悉在 Linux 环境下使用 tcpdump 命令和在 Windows 环境下使用 wireshark 基础操作了。

tcpdump 官方文档:

tcpdump(1) man page | TCPDUMP & LIBPCAP

比如:我要在远程主机上抓取 eth0 网卡的 20 条 tcp 数据包,并保存为 test.pcap 文件:

tcpdump -i eth0 -c 20 tcp -w test.pcap

上面的命令,我是 cd 进入 /usr/local/tcpdump 目录下执行的。

所以,我用 Xftp工具打开此目录后就看到生成的包文件 test.pcap 

用 Xftp 工具把 Linux 中的文件 test.pcap 下载到 Windows 中

接下来使用 Wireshark 打开 test.pcap 包文件,此时即可分析抓到的 20 条 tcp 数据包

方式2:通过 ssh 连接远程主机,将 tcpdump 抓取到的数据包实时发送给 Wireshark 进行分析

思路:Windows 环境中使用 ssh 命令实现远程主机登录,登录后用 tcpdump 命令抓包并把数据包设置标准输出,运行 wireshark 程序从标准输入读取包数据。

工具:cmd 控制台 + Wireshark

1.右击 wireshark 进入到安装目录,在目录栏输入cmd ,然后回车进入 cmd 控制台。

2.准备命令

2.1 先在打开的 cmd 控制台中测试这条命令:ssh root@xxx.xxx.xxx.xxx -p 22

ssh 命令用于通过 SSH 协议连接到远程主机,实现远程登录和执行命令,它加密会话中的所有通信,确保数据传输的安全性。

ssh root@xxx.xxx.xxx.xxx -p 22

参数说明

  • [root@]xxx.xxx.xxx.xxx:要连接的远程主机的用户名和主机名。
  • -p 22:指定连接到远程主机的端口号。

根据提示输入远程主机的密码,登录远程主机

2.2 登录成功后在远程主机抓取 eth0 网卡的 20 条 tcp 数据包的命令

tcpdump -i eth0 -c 20 tcp

通过以上两步可以知道目前和远程主机是建立连接的。

2.3 Wireshark 命令

在 wireshark 官网找到文档,选择自己需要的命令

线鲨(1) (wireshark.org)icon-default.png?t=N7T8https://www.wireshark.org/docs/man-pages/wireshark.html比如:我后续会新打开 wireshark 安装目录进入 cmd 控制台,输入: Wireshark.exe -k -i - 

命令拆分,说明:

(1)Wireshark.exe(可以看看你的安装目录是不是这个名称),在 cmd 控制台启动 wireshark 应用程序

(2)-k -i -

官网文档中说:-k 是立即捕获会话;-i - 表示从标准输入读取数据。

如果在 cmd 控制台执行命令:Wireshark.exe -k -i -

命令则会打开 Windows 中安装的 wireshark 程序并开始监听(-i - 从标准输入读取数据)。

3. 把刚才的命令组合起来

命令组合初期的样子:

ssh root@xxx.xxx.xxx.xxx -p 22  tcpdump -i eth0 -c 20 tcp  Wireshark.exe -k -i -

看起来是这个样子,但现在有个问题是“抓包的数据怎么传送?”,所以组合后的命令还不完整,接下来对 tcpdump 的抓包命令进行改进。查看 tcpdump 官方文档。

通过文档可以知道 -l -w - 对我接下来有用。

比如:抓取 eth0 网卡的 20 条 tcp 数据包输出到标准输出。

命令是:tcpdump -i etho -c 20 tcp -l -w -

回头看刚才的 “Wireshark.exe -k -i -”是从标准输入读取数据,那么现在“tcpdump -i etho -c 20 -l -w -”是输出到标准输出,再结合 ssh 命令则可以实现:远程 + 输出包数据 + 读取包数据

4. ssh + tcpdump + wireshark

新打开一个wireshark安装目录的 cmd 控制台,输入命令:

ssh root@xxx.xxx.xxx.xxx -p 22 "tcpdump -i eth0 -c 20 tcp -l -w -" | Wireshark.exe -k -i -

接着 cmd 控制台会提示让输入登录远程主机的密码,同时 Wireshark 程序启动。

输入密码后回车,远程连接主机成功,然后执行 tcpdump 抓包,同时包数据在 wireshark 程序中呈现。

方式3:在远程主机打开本地的 wireshark 软件

方式3参考下面的博客,但是没有成功。

因为方式一和方式二已经够用了,所以后续在测试方式三……

参考:Linux下使用Wireshark抓包教程_wireshark linux-CSDN博客

缓缓躺下
关注
  • 30
    点赞
  • 30
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
tcpdump抓包并用于wireshark解析
way2016的博客
03-18 2698
tcpdump抓包工具,wireshark
使用adb将tcpdump的流量导到wireshark
u011583025的专栏
09-27 1324
搭建环境 1、下载安装adb 如果之前电脑里有装Android SDK,那么在 Android SDK 的 Tools 里面有 adb 工具,将adb配到环境变量里 2、下载安装windows 端 netcat 工具 安装好后配到环境变量里 3、下载安装android 端 netcat 工具(手机要Root) 可以下载 Busybox,里面就有 netcat。打
怎么讲tcpdump结果导入到 wireshark
03-13 2889
我的设备是基于linux的设备,经常碰到需要将 tcpdump 的结果导入到windows 设备进行分析的情况。(当然直接使用linux的相关程序就没啥问题) 这里就说一个命令,将tcpdump的结果导出到能够让 wireshark 分析的文件。 【命令:tcpdump -w 】 比如 #tcpdump -n -i eth1 -w /var/back/001.cap
Tcpdump抓包Wireshark 报文分析
sanguine_boy的博客
12-08 1485
linux服务器端口数据报文分析
Tcpdump 输出内容重定向Wireshark 有何好处
最新发布
先天无极编程圣体的博客
08-07 839
tcpdumptcpdump的实时、轻量级捕获能力和 Wireshark 的丰富解析与交互分析功能。这种方法可以提供更强大的实时网络分析能力,帮助你更高效地诊断和解决网络问题。
使用tcpdump命令抓包并使用Wireshark软件分析
m0_65009717的博客
01-23 425
使用tcpdump命令抓包并使用Wireshark软件分析
利用TCPDUMP抓包,并将信息存入文件
weixin_46960788的博客
08-08 1372
报头解析,是通过网络抓包对网络上传输的数据包进行抓取,通过对数据包的每层协议进行分析得到其报文首部信息。抓包对于软件的Debug具有很大的帮助。抓包更多的用于网络安全,比如查找感染病毒的计算机,获取网页的源代码,以及了解攻击者所用方法,追查攻击者的ip地址等。抓包可以实时捕获并详细显示各种类型数据包,可以通过多种方式过滤数据包,还可以进行多种统计分析。在程序运行的数据交互中,传输的数据一般都是以数据包的形式传输。一般抓包测试多用于通信行业和网络行业的测试。本文为Linux环境下编写。
Linux网络抓包分析工具(tcpdumpwireshark
热门推荐
m0_71521555的博客
08-20 1万+
tcpdumpwireshark
tcpdump 超时包_tcpdump/wireshark抓包及分析
weixin_35933582的博客
01-17 1540
本文将展示如何使用tcpdump抓包,以及如何用tcpdumpwireshark分析网络流量。 文中的例子比较简单,适合作为入门参考。1 基础环境准备为方便大家跟着上手练习,本文将搭建一个容器环境。1.1 Pull Docker镜像$ sudo docker pull alpine:3.81.2 运行容器$ sudo docker run -d --name ctn-1 alpine:3.8 s...
tcpdumpwireshark组合拦截分析端口数据
Realoyou的博客
08-07 689
tcpdump简介 用简单的话来定义tcpdump,就是:dump the traffic on a network,根据使用者的定义对网络上的数据包进行截获的包分析工具。 tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。 实用命令实例 默认启动,普通情况下,直接...
tcpdump抓包抓包导出.pcap文件用wireshark
Mr_wilson_liu的博客
05-28 742
tcpdump -i any host 设备的ip。
tcpdump生成pcap文件
zgjxhgh的专栏
11-09 220
tcpdump -i any -n tcp port 30005 -w risk_01.pcap
tcpdump抓包
Qnn_blog的博客
03-27 2405
表达式是一个正则表达式,tcpdump利用它作为过滤报文的条件,如果一个报文满足表达式的条件,则这个报文将会被捕获。如果没有给出任何条件,则网络上所有的信息包将会被截获。在表达式中一般如下几种类型的关键字,一种是关于类型的关键字,主要包括host,net,port, 例如 host 192.168.2.2,指明 192.168.2.2是一台主机,net 192.168.2.0 指明 192.168.2.0是一个网络地址,port 23 指明端口号是23。如果没有指定类型,缺省的类型是host.
tcpdump 抓包工具详细图文教程(下)
Stars.Sky 的博客
06-01 6410
tcpdump 抓包工具详细图文教程
[运维] tcpdump 抓包到指定文件
梦醒贰零壹柒
05-31 6185
使用tcpdump命令抓包并将结果保存到指定文件,可以通过指定输出文件参数来实现。是要抓取数据包的网络接口,可以是网络接口名称(例如。你可以将其替换为你想要的文件名和路径。是要保存抓包结果的文件名,扩展名通常为。)或者是"any"(表示所有接口)。
使用tcpdump命令进行抓包+详细示例
sunrj_niu的博客
03-14 1万+
A: 以ASCII码方式显示每一个数据包(不会显示数据包中链路层头部信息). 在抓取包含网页数据的数据包时, 可方便查看数据-c count: tcpdump将在接受到count个数据包后退出-d: 以容易阅读的形式,在标准输出上打印出编排过的包匹配码, 随后tcpdump停止-dd: 以C语言的形式打印出包匹配码-ddd: 以十进制数的形式打印出包匹配码-e: 每行的打印输出中将包括数据包的数据链路层头部信息: 指定tcpdump 需要监听的接口-s snaplen。
tcpdump详解
weixin_47202856的博客
04-06 1913
tcpdump是一种常用的网络抓包工具,可以通过监听网络接口实时捕获数据包,并对其进行解析和显示。
全网最全tcpdumpWireshark抓包实践
青梅煮酒
06-08 3641
1、介绍wireshark的基本使用,涉及过滤器,抓包方式等 2、介绍tcpdump的基本使用以及参数说明
tcpdump命令重定向
09-15
tcpdump命令可以使用重定向符号(>)将输出结果重定向到文件中。通过这种方式,你可以将tcpdump捕获的数据保存到文件中,以便稍后进行分析或查看。 例如,如果你想将tcpdump输出结果保存到名为"capture.pcap"的文件中,你可以使用以下命令: tcpdump -i eth0 'tcp port 80' > capture.pcap 在这个命令中,我们将tcpdump输出结果重定向到名为"capture.pcap"的文件中。你可以将文件名替换为你想要的任何文件名和路径。 请注意,重定向符号(>)会覆盖目标文件中的任何现有内容。如果你希望将输出追加到文件中而不覆盖现有内容,你可以使用重定向追加符号(>>),如下所示: tcpdump -i eth0 'tcp port 80' >> capture.pcap 这样,每次运行tcpdump命令时,输出将被追加到"capture.pcap"文件的末尾,而不会覆盖之前的数据。 希望这个回答对你有所帮助!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值