1、协议过滤：tcp




udp

arp

icmp

http

smtp

ftp

dns

msnms

ip

ss


例：udp.port==8089



筛选udp协议 端口为8089 ，

tcpdump抓包命令

tcpdump 的抓包保存到文件的命令参数是-w xxx.cap


抓eth1的包 

tcpdump -i eth1 -w /tmp/xxx.cap
抓 192.168.1.123的包 

tcpdump -i eth1 host 192.168.1.123 -w /tmp/xxx.cap
抓192.168.1.123的80端口的包 

tcpdump -i eth1 host 192.168.1.123 and port 80 -w /tmp/xxx.cap
抓192.168.1.123的icmp的包 

tcpdump -i eth1 host 192.168.1.123 and icmp -w /tmp/xxx.cap
抓192.168.1.123的80端口和110和25以外的其他端口的包 

tcpdump -i eth1 host 192.168.1.123 and ! port 80 and ! port 25 and ! port 110 -w /tmp/xxx.cap
抓vlan 1的包 

tcpdump -i eth1 port 80 and vlan 1 -w /tmp/xxx.cap
抓pppoe的密码 

tcpdump -i eth1 pppoes -w /tmp/xxx.cap 
以100m大小分割保存文件， 超过100m另开一个文件 

-C 100m
抓10000个包后退出 

-c 10000
后台抓包， 控制台退出也不会影响 

nohup tcpdump -i eth1 port 110 -w /tmp/xxx.cap & 






使用wireshark分析tcpdump出来的pcap文件

我们需要过滤一些想要的数据，那么在如图所示的输入框中输入表达式过滤即可： 



Wireshark的Filter内输入如下一些过滤条件，可以更加方便地分析数据来源：

tcp.port== 80 //过滤来自80端口的TCP数据 

udp.port== 12345 //过滤来自12345端口的UDP数据 

ip.src== 192.168.0.1 //过滤源IP为192.168.0.1的数据 

ip.dst== 192.168.0.1 //过目的IP为192.168.0.1的数据 

以上过滤条件可以用and跟or相互组合，例如 

tcp.port== 80 and ip.src == 192.168.0.1 //过滤来自80端口，源IP为192.168.0.1的TCP数 

udp.port== 12345 or ip.dst == 192.168.0.1 //过滤来自12345端口的UDP数据，或者目的IP为192.168.0.1的数据



关于wireshark：

wireshark面板介绍： 

 

1. Display Filter(显示过滤器)，  用于过滤。 

2. Packet List Pane(封包列表)， 显示捕获到的封包， 有源地址和目标地址，端口号。 颜色不同，代表不同的数据流。 

3. Packet Details Pane(封包详细信息), 显示封包中的字段。 

4. Dissector Pane(16进制数据) 

5. Miscellanous(地址栏，杂项)

封包详细信息：

Frame: 物理层的数据帧概况  

Ethernet II: 数据链路层以太网帧头部信息  

Internet Protocol Version 4: 互联网层IP包头部信息  

Transmission Control Protocol: 传输层T的数据段头部信息，此处是TCP Hypertext Transfer Protocol: 应用层的信息，此处是HTTP协议

wireshark与对应的OSI七层模型：



封包详细内容中，TCP包具体内容：





实例分析TCP三次握手：



上图是TCP三次握手的过程图，那么在wireshark上，我们也可以看到这个过程：

打开浏览器和wireshark，任意输入并浏览一个网址，然后在wireshark中，找到protocol为TCP的数据包，右键->追踪流->TCP流，既可以看到两台主机之间，进行的通信： 

 

图中可以看到wireshark截获到了三次握手的三个数据包。第四个包才是HTTP的， 这说明HTTP的确是使用TCP建立连接的。

客户端发送一个TCP，标志位为SYN，序列号为0，代表客户端请求建立连接。 如下图： 



服务器发回确认包, 标志位为 SYN,ACK. 将确认序号(Acknowledgement Number)设置为客户的ISN加1以.即0+1=1, 如下图： 



客户端再次发送确认包(ACK) SYN标志位为0,ACK标志位为1.并且把服务器发来ACK的序号字段+1,放在确定字段中发送给对方.并且在数据段放写ISN的+1, 如下图: 



TCP三次握手四次挥手过程：



回到具体问题，我们知道了这些wireshark的面板中，各项中，字段含义，那么怎么知道一步操作具体使用了多少流量呢？ 

前提：清除掉你的应用缓存，不然不能得到你想要的数据。 

1.使用过滤器，过滤出你想要的数据包（此步可以省略）； 

2.找到你想统计的主机地址和目的地址通信的包，右键，追踪流，TCP流，如图： 

 

3.在筛选出的TCP Stream中，将各条记录的Length进行求和，即可得到总的大小; 



当然，这里wireshark给我们提供了一个简单的方法，查看流量的统计结果：

点击统计，端点；在弹出来的窗口中，选择TCP，勾选“显示过滤器的限制”，如图所示： 



PS：这部分是之和，是包含了TCP连接所消耗的数据，如果你想剔除这部分数据，那么，可以（右键->追踪流->TCP流），这样，可以在左下角看到有个entire conversation（114kB），及不包含TCP连接的通信数据流量为114KB；

原文链接：https://blog.csdn.net/zhou1021jian/article/details/79631422

遇到需要在Linux下抓包分析的问题，便用到了wireshark，非常强大的抓包分析软件，直接在系统里面安装，然后使用明亮抓包即可！

我这里用的是Ubuntu server版，执行安装：
apt-get install wireshark


安装成功后使用命令进行抓包：
tshark -i eth0 port 6060 


抓制定网卡和端口的包！

当然，也可以使用系统自带的tcpdump 来进行抓包。
tcpdump -i eth0 -s 0 -w /tmp/test.cap


然后使用wireshark进行解包分析，windows下下载路径：https://www.wireshark.org/

下载安装即可，需要注意的是，出来基本上都是UDP和TCP的包，如果要查看RTP等其他类型的包，可以找到相应端口的UDP包进行decode操作，来转换！

1、抓包
tcpdump -i any -s 0 -w asd.cap tcp                 这个是http的（不指定端口）
tcpdump -i any -s 0 -w asd.cap tcp port 6041       这个是http的（指定端口）


2、wireshark常用过滤（多个条件用and）

过滤源ip地址：ip.src == 1.1.1.1
过滤目的ip地址：ip.dst == 1.1.1.1
过滤源端口：tcp.srcport == 80
过滤目的端口：tcp.dstport == 80
过滤协议为http：http

例子：
http and ip.dst == 10.66.174.22 and tcp.dstport == 9011