-
wireshark简单抓包命令
2019-06-12 15:05:191、协议过滤:tcp udp arp icmp http smtp ftp dns msnms ip ss 例:udp.port==8089 筛选udp协议 端口为8089 ,1、协议过滤:tcp
udp
arp
icmp
http
smtp
ftp
dns
msnms
ip
ss例:udp.port==8089
筛选udp协议 端口为8089 ,
-
tcpdump抓包命令和wireshark抓包分析
2018-09-03 16:59:59tcpdump抓包命令 tcpdump 的抓包保存到文件的命令参数是-w xxx.cap 抓eth1的包 tcpdump -i eth1 -w /tmp/xxx.cap 抓 192.168.1.123的包 tcpdump -i eth1 host 192.168.1.123 -w /tmp/xxx.cap 抓192.168.1.123的...tcpdump抓包命令
tcpdump 的抓包保存到文件的命令参数是-w xxx.cap
- 抓eth1的包
tcpdump -i eth1 -w /tmp/xxx.cap - 抓 192.168.1.123的包
tcpdump -i eth1 host 192.168.1.123 -w /tmp/xxx.cap - 抓192.168.1.123的80端口的包
tcpdump -i eth1 host 192.168.1.123 and port 80 -w /tmp/xxx.cap - 抓192.168.1.123的icmp的包
tcpdump -i eth1 host 192.168.1.123 and icmp -w /tmp/xxx.cap - 抓192.168.1.123的80端口和110和25以外的其他端口的包
tcpdump -i eth1 host 192.168.1.123 and ! port 80 and ! port 25 and ! port 110 -w /tmp/xxx.cap - 抓vlan 1的包
tcpdump -i eth1 port 80 and vlan 1 -w /tmp/xxx.cap - 抓pppoe的密码
tcpdump -i eth1 pppoes -w /tmp/xxx.cap - 以100m大小分割保存文件, 超过100m另开一个文件
-C 100m - 抓10000个包后退出
-c 10000 - 后台抓包, 控制台退出也不会影响
nohup tcpdump -i eth1 port 110 -w /tmp/xxx.cap &
使用wireshark分析tcpdump出来的pcap文件
我们需要过滤一些想要的数据,那么在如图所示的输入框中输入表达式过滤即可:
Wireshark的Filter内输入如下一些过滤条件,可以更加方便地分析数据来源:
tcp.port== 80 //过滤来自80端口的TCP数据
udp.port== 12345 //过滤来自12345端口的UDP数据
ip.src== 192.168.0.1 //过滤源IP为192.168.0.1的数据
ip.dst== 192.168.0.1 //过目的IP为192.168.0.1的数据
以上过滤条件可以用and跟or相互组合,例如
tcp.port== 80 and ip.src == 192.168.0.1 //过滤来自80端口,源IP为192.168.0.1的TCP数
udp.port== 12345 or ip.dst == 192.168.0.1 //过滤来自12345端口的UDP数据,或者目的IP为192.168.0.1的数据关于wireshark:
wireshark面板介绍:
1. Display Filter(显示过滤器), 用于过滤。
2. Packet List Pane(封包列表), 显示捕获到的封包, 有源地址和目标地址,端口号。 颜色不同,代表不同的数据流。
3. Packet Details Pane(封包详细信息), 显示封包中的字段。
4. Dissector Pane(16进制数据)
5. Miscellanous(地址栏,杂项)封包详细信息:
Frame: 物理层的数据帧概况
Ethernet II: 数据链路层以太网帧头部信息
Internet Protocol Version 4: 互联网层IP包头部信息
Transmission Control Protocol: 传输层T的数据段头部信息,此处是TCP Hypertext Transfer Protocol: 应用层的信息,此处是HTTP协议wireshark与对应的OSI七层模型:
封包详细内容中,TCP包具体内容:
实例分析TCP三次握手:
上图是TCP三次握手的过程图,那么在wireshark上,我们也可以看到这个过程:
打开浏览器和wireshark,任意输入并浏览一个网址,然后在wireshark中,找到protocol为TCP的数据包,右键->追踪流->TCP流,既可以看到两台主机之间,进行的通信:
图中可以看到wireshark截获到了三次握手的三个数据包。第四个包才是HTTP的, 这说明HTTP的确是使用TCP建立连接的。客户端发送一个TCP,标志位为SYN,序列号为0,代表客户端请求建立连接。 如下图:
服务器发回确认包, 标志位为 SYN,ACK. 将确认序号(Acknowledgement Number)设置为客户的ISN加1以.即0+1=1, 如下图:
客户端再次发送确认包(ACK) SYN标志位为0,ACK标志位为1.并且把服务器发来ACK的序号字段+1,放在确定字段中发送给对方.并且在数据段放写ISN的+1, 如下图:
TCP三次握手四次挥手过程:
回到具体问题,我们知道了这些wireshark的面板中,各项中,字段含义,那么怎么知道一步操作具体使用了多少流量呢?
前提:清除掉你的应用缓存,不然不能得到你想要的数据。
1.使用过滤器,过滤出你想要的数据包(此步可以省略);
2.找到你想统计的主机地址和目的地址通信的包,右键,追踪流,TCP流,如图:
3.在筛选出的TCP Stream中,将各条记录的Length进行求和,即可得到总的大小;
当然,这里wireshark给我们提供了一个简单的方法,查看流量的统计结果:
点击统计,端点;在弹出来的窗口中,选择TCP,勾选“显示过滤器的限制”,如图所示:
PS:这部分是之和,是包含了TCP连接所消耗的数据,如果你想剔除这部分数据,那么,可以(右键->追踪流->TCP流),这样,可以在左下角看到有个entire conversation(114kB),及不包含TCP连接的通信数据流量为114KB;
原文链接:https://blog.csdn.net/zhou1021jian/article/details/79631422
- 抓eth1的包
-
Linux下使用Wireshark进行抓包分析(含SIP和RTP包)
2017-01-18 16:41:18遇到需要在Linux下抓包分析的问题,便用到了wireshark,非常强大的抓包分析软件,直接在系统里面安装,然后使用明亮抓包即可! 我这里用的是Ubuntu server版,执行安装: apt-get install wireshark 安装... -
tcpdump抓包命令和wireshark过滤条件
2020-01-14 15:54:301、抓包 tcpdump -i any -s 0 -w asd.cap tcp 这个是http的(不指定端口) tcpdump -i any -s 0 -w asd.cap tcp port 6041 这个是http的(指定端口) 2、wireshark常用过滤(多个条件用and) 过滤源ip地址:ip....1、抓包 tcpdump -i any -s 0 -w asd.cap tcp 这个是http的(不指定端口) tcpdump -i any -s 0 -w asd.cap tcp port 6041 这个是http的(指定端口) 2、wireshark常用过滤(多个条件用and) 过滤源ip地址:ip.src == 1.1.1.1 过滤目的ip地址:ip.dst == 1.1.1.1 过滤源端口:tcp.srcport == 80 过滤目的端口:tcp.dstport == 80 过滤协议为http:http 例子: http and ip.dst == 10.66.174.22 and tcp.dstport == 9011
-
抓包与wireshark包过滤命令---实用
2018-11-27 17:59:02一、linux端tcpdump抓包 ①指定主机抓包,例:抓取主机A与主机B之间的tcp包。 tcpdump -i eth0 ‘((tcp && host 192.168.1.109 && host 192.168.1.249 ))’ -vv -s 0 -w 123.pcap ... -
wireshark抓包工具是否可以抓到mysql协议?
2020-05-22 20:34:44wireshark抓包工具是可以抓到mysql协议,虽然mysql的3306端口是基于TCP协议的,tcp协议是再传输层,但是mysql协议是再应用层的。 使用wireshark工具抓包的应用层的mysql协议示例图。 tcpdump抓应用层mysql的包命令 ... -
ios wireshark 抓包
2017-12-19 17:41:29ios 手机抓包 一般用花瓶的抓包工具。 但是和硬件交互的时候 需要抓的是tcp 和udp 的包 怎么抓手机和硬件交互的 包呢首先需要抓手机的所有网络 同事提供了一个命令在终端中敲入 rvictl -s uuid 这个uuid 是... -
wireshark设置端口镜像_eNodeB近端镜像抓包方法
2021-01-02 11:05:12eRAN2.1 SPC400以后或者LTE2.2 SPC200以后,可以使用MML命令启动端口镜像抓包。 (1) 开启抓包:比如设置从0号网口镜像到1号网口的抓包,PC机上装好抓包工具后连接到1号网口进行接收和发送方向的抓包。 ... -
wireshark抓包分析TCP协议和用Fiddler抓包Https分析
2020-12-03 23:02:37以某种游戏的客户端连接服务器、断开服务器为例,用wireshark抓包分析TCP协议的三次握手连接、四次握手断开,与计算机网络原理进行验证;用Fiddler抓包,分析验证一个HTTPS网站的TCP连接过程 2.实验过程: wireshark... -
FTP实验wireshark抓包
2020-06-19 11:53:492.3抓包分析 2.3.1连接建立 客户端和服务器端主动发起连接请求,并用一个随机源端口号2057,和目的端口号21进行TCP三次握手建立控制通道的TCP连接。 控制通道建立成功后,需要进行身份认证,由于此处我设置的是... -
抓包不求人|tcpdump抓包命令快速了解
2021-01-16 16:00:47今天我们就来快速了解tcpdump命令的基础用法,阅读后可以让你抓包不求人。 基础用法 可以根据条件设置抓取指定网卡、指定数量的消息,也可以设置过滤条件过滤掉不需要的地址或者端口消息。 首先,我们要知道... -
Wireshark抓包过滤大法
2019-04-03 11:41:26wireshark 实用过滤表达式(针对ip、协议、端口、长度和内容) 关键字 “与”:“eq” 和 “==”等同,可以使用 “and” 表示并且, “或”:“or”表示或者。 “非”:“!" 和 "not” 都表示取反。 多组... -
Windows启动远程抓包命令
2017-07-20 21:53:48Windows启动远程抓包命令进入Wireshark安装目录D:\Program Files (x86)\wireshark >执行:wireshark -B 1 -k -i rpcap://[192.168.10.188]:2020/eth0命令解析:该命令为抓取192.168.10.188主机的eth0网口的报文,... -
Linux使用tcpdump命令抓包保存pcap文件wireshark分析
2019-01-04 16:53:09tcpdump 的抓包保存到文件的命令参数是-w xxx.cap 抓eth1的包 tcpdump -i eth1 -w /tmp/xxx.cap 抓 192.168.1.123的包 tcpdump -i eth1 host 192.168.1.123 -w /tmp/xxx.cap 抓192.168.1.123的80端口的... -
linux系统抓包命令
2017-04-21 22:23:00端口抓包: tcpdump -i any port 6789 -n wireshak工具抓包:tcp.port == 6789 过滤源ip、目的ip。在wireshark的过滤规则框Filter中输入过滤条件。如查找目的地址为192.168.101.8的包,ip... -
wireshark本机抓包route的配置
2019-01-11 17:17:08抓包前命令行输入下面命令增加静态路由 route add 本机IP mask 255.255.255.255 网关IP 完了后在删除 route delete 本机IP mask 255.255.255.255 网关IP linux下直接使用tcpdump 命令抓包 tcpdump -i ... -
手机查看pcap文件_Linux tcpdump命令抓包保存pcap文件wireshark分析
2021-02-12 04:13:48tcpdump 的抓包保存到文件的命令参数是-w xxx.cap抓eth1的包tcpdump -i eth1 -w /tmp/xxx.cap抓 192.168.1.123的包tcpdump -i eth1 host 192.168.1.123 -w /tmp/xxx.cap抓192.168.1.123的80端口的包tcpdump -i eth1 ... -
linux抓包命令
2016-11-08 12:25:02前提是:linux服务器上已经安装过wireshark 1.抓取网卡是eth0的保存到home文件夹下的ir.cap文件 tcpdump -i eth0 -w /home/ir.cap 2.抓 192.168.1.123的包 ...3.抓192.168.1.123的80端口的包 -
wireshark捕获指定的数据包(抓包前)-基于指定IP,网段,MAC,广播和组播,端口,端口组合以及ICMP
2019-03-15 17:32:42wireshark在捕获的过程前,我们...以下语法是针对wireshark抓包之前的过滤语句!!! 以下语法是针对wireshark抓包之前的过滤语句!!! 以下语法是针对wireshark抓包之前的过滤语句!!! 常见的过滤前命令: 基于I... -
wireshark常用的过滤命令
2015-12-03 16:40:00继续抓包过滤学习: 1.按照IP地址过滤 查找目的地址为192.168.101.8的包,ip.dst==192.168.101.8;查找源地址为ip.src==1.1.1.1 2.按照端口过滤 如过滤80端口,在Filter中输入,tcp.port==80,这条规则是把源... -
tcpdump命令和Wireshark包分析工具
2019-12-30 11:50:50linux下抓包命令 查看通信端口数据抓包 测试环境下输入命令:tcpdump-s2048port9811-Ann 可以检查xml数据包 tcpdump-s2048port9811-Xnn 可以查看十六进制数据包 tcpdump -s 2048 -AA port 5092 -i any ... -
抓包及分析包的常用命令
2014-09-28 16:23:47tcpdump抓包命令: tcpdump port 1883 -w /tmp/mosq.pcap wireshark常用的过滤命令: (1)等号使用 == 或者 eq,不等于使用 != 或者 ne 例如:端口为80的包 tcp.port eq 80 或者:tcp.port == 80 (2)... -
tcpdump抓包命令,保存为pcap文件,截取后面的内容
2020-10-16 17:41:11tcpdump抓包命令: # tcpdump -i eth0 -Xvnn -s0 host ${对方IP} and port ${本机端口} > ./tmp.log & tcpdump -i eth0 -Xvnn -s0 host 192.168.2.18 and port 8080 > ./tmp.log & # 保存为pcap文件在... -
抓包工具之:Wireshark 和 RawCap
2015-07-13 14:57:48Wireshark 这个抓包工具比较强大,具体的网上能查到很多,我只是简单说下一些常用的命令: ip.addr==需要查的IP地址 and tcp.port==443 : 查询地址和端口号匹配的记录 ip and (tcp.port==4437 or tcp.port==5775)... -
Linux之tcpdump抓包及Wireshark查看分析
2020-05-26 14:18:42tcpdump介绍 tcpdump可以将网络中传送的数据包完全截获下来提供分析。...-i 指定需要抓包的网卡 -w 指定数据包信息保存的文件目录,文件格式为*.pcap,方便wireshark分析 host 抓取源主机或目的主机的报文 port -
tcpdump命令抓包参数
2019-03-12 20:01:00聊聊 tcpdump 与 Wireshark 抓包分析 tcpdump常用参数 -n 显示IP地址和端口号 -v 显示更多信息,ttl,长度,其他选项等,tcpdump的详细信息有3个级别,因此-vvv显示最多信息 -D 列出可以抓包的网络接口 -i + 网络... -
tcpdump抓包 wireshark(ethereal)分析
2012-02-28 10:10:02tcpdump 的抓包保存到文件的命令参数是-w xxx.cap 抓eth1的包 tcpdump -i eth1 -w /tmp/xxx.cap 抓 192.168.1.123的包 tcpdump -i eth1 host 192.168.1.123 -w /tmp/xxx.cap 抓192.168.1.123的80端口的包 ...
-
MySQL 备份与恢复详解(高低版本 迁移;不同字符集 相互转换;表
-
基于电商业务的全链路数据中台落地方案(全渠道、全环节、全流程)
-
酷炫计时器
-
【布道者】Linux极速入门
-
江西财经大学《微机分I》各单项训练汇总(含答案).pdf
-
八皇后
-
江西财经大学《计算机基础》三套期末考试试卷(含答案).pdf
-
leetcode刷题心得记录
-
重建二叉树
-
MySQL 高可用工具 DRBD 实战部署详解
-
MySQL 多实例安装 及配置主从复制实验环境
-
atoi()函数------将一个字符串转换为一个整型数值
-
MHA 高可用 MySQL 架构与 Altas 读写分离
-
tensorflow的数学运算符和矩阵运算符
-
投标方法论
-
2021-03-02
-
C语言零基础入门(详细讲解)
-
百度停用词词表baidustop.txt
-
江西财经大学思修课后习题答案.pdf
-
Iterative Transfer Learning with Neural Network——20210301