精华内容
下载资源
问答
  • tcpdump抓包wireshark分析

    千次阅读 2018-07-10 15:46:49
    分别转自https://www.cnblogs.com/senlinmilelu/p/6876650.html 和https://www.cnblogs.com/ggjucheng/archive/2012/01/14/2322659.html简介用简单的话来定义tcpdump,就是:dump the traffic on a network,根据...

    分别转自https://www.cnblogs.com/senlinmilelu/p/6876650.html 和

    https://www.cnblogs.com/ggjucheng/archive/2012/01/14/2322659.html

    简介

    用简单的话来定义tcpdump,就是:dump the traffic on a network,根据使用者的定义对网络上的数据包进行截获的包分析工具。 tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。

    命令使用

    tcpdump采用命令行方式,它的命令格式为:

    复制代码
    tcpdump [ -AdDeflLnNOpqRStuUvxX ] [ -c count ]
               [ -C file_size ] [ -F file ]
               [ -i interface ] [ -m module ] [ -M secret ]
               [ -r file ] [ -s snaplen ] [ -T type ] [ -w file ]
               [ -W filecount ]
               [ -E spi@ipaddr algo:secret,...  ]
               [ -y datalinktype ] [ -Z user ]
               [ expression ]
    复制代码

    tcpdump的简单选项介绍

    复制代码
    -A  以ASCII码方式显示每一个数据包(不会显示数据包中链路层头部信息). 在抓取包含网页数据的数据包时, 可方便查看数据(nt: 即Handy for capturing web pages).
    
    -c  count
        tcpdump将在接受到count个数据包后退出.
    
    -C  file-size (nt: 此选项用于配合-w file 选项使用)
        该选项使得tcpdump 在把原始数据包直接保存到文件中之前, 检查此文件大小是否超过file-size. 如果超过了, 将关闭此文件,另创一个文件继续用于原始数据包的记录. 新创建的文件名与-w 选项指定的文件名一致, 但文件名后多了一个数字.该数字会从1开始随着新创建文件的增多而增加. file-size的单位是百万字节(nt: 这里指1,000,000个字节,并非1,048,576个字节, 后者是以1024字节为1k, 1024k字节为1M计算所得, 即1M=102410241,048,576)
    
    -d  以容易阅读的形式,在标准输出上打印出编排过的包匹配码, 随后tcpdump停止.(nt | rt: human readable, 容易阅读的,通常是指以ascii码来打印一些信息. compiled, 编排过的. packet-matching code, 包匹配码,含义未知, 需补充)
    
    -dd 以C语言的形式打印出包匹配码.
    
    -ddd 以十进制数的形式打印出包匹配码(会在包匹配码之前有一个附加的'count'前缀).
    
    -D  打印系统中所有tcpdump可以在其上进行抓包的网络接口. 每一个接口会打印出数字编号, 相应的接口名字, 以及可能的一个网络接口描述. 其中网络接口名字和数字编号可以用在tcpdump 的-i flag 选项(nt: 把名字或数字代替flag), 来指定要在其上抓包的网络接口.
    
        此选项在不支持接口列表命令的系统上很有用(nt: 比如, Windows 系统, 或缺乏 ifconfig -a 的UNIX系统); 接口的数字编号在windows 2000 或其后的系统中很有用, 因为这些系统上的接口名字比较复杂, 而不易使用.
    
        如果tcpdump编译时所依赖的libpcap库太老,-D 选项不会被支持, 因为其中缺乏 pcap_findalldevs()函数.
    
    -e  每行的打印输出中将包括数据包的数据链路层头部信息
    
    -E  spi@ipaddr algo:secret,...
    
        可通过spi@ipaddr algo:secret 来解密IPsec ESP包(nt | rt:IPsec Encapsulating Security Payload,IPsec 封装安全负载, IPsec可理解为, 一整套对ip数据包的加密协议, ESP 为整个IP 数据包或其中上层协议部分被加密后的数据,前者的工作模式称为隧道模式; 后者的工作模式称为传输模式 . 工作原理, 另需补充).
    
        需要注意的是, 在终端启动tcpdump 时, 可以为IPv4 ESP packets 设置密钥(secret).
    
        可用于加密的算法包括des-cbc, 3des-cbc, blowfish-cbc, rc3-cbc, cast128-cbc, 或者没有(none).默认的是des-cbc(nt: des, Data Encryption Standard, 数据加密标准, 加密算法未知, 另需补充).secret 为用于ESP 的密钥, 使用ASCII 字符串方式表达. 如果以 0x 开头, 该密钥将以16进制方式读入.
    
        该选项中ESP 的定义遵循RFC2406, 而不是 RFC1827. 并且, 此选项只是用来调试的, 不推荐以真实密钥(secret)来使用该选项, 因为这样不安全: 在命令行中输入的secret 可以被其他人通过ps 等命令查看到.
    
        除了以上的语法格式(nt: 指spi@ipaddr algo:secret), 还可以在后面添加一个语法输入文件名字供tcpdump 使用(nt:即把spi@ipaddr algo:secret,... 中...换成一个语法文件名). 此文件在接受到第一个ESP 包时会打开此文件, 所以最好此时把赋予tcpdump 的一些特权取消(nt: 可理解为, 这样防范之后, 当该文件为恶意编写时,不至于造成过大损害).
    
    -f  显示外部的IPv4 地址时(nt: foreign IPv4 addresses, 可理解为, 非本机ip地址), 采用数字方式而不是名字.(此选项是用来对付Sun公司的NIS服务器的缺陷(nt: NIS, 网络信息服务, tcpdump 显示外部地址的名字时会用到她提供的名称服务): 此NIS服务器在查询非本地地址名字时,常常会陷入无尽的查询循环).
    
        由于对外部(foreign)IPv4地址的测试需要用到本地网络接口(nt: tcpdump 抓包时用到的接口)及其IPv4 地址和网络掩码. 如果此地址或网络掩码不可用, 或者此接口根本就没有设置相应网络地址和网络掩码(nt: linux 下的 'any' 网络接口就不需要设置地址和掩码, 不过此'any'接口可以收到系统中所有接口的数据包), 该选项不能正常工作.
    
    -F  file
        使用file 文件作为过滤条件表达式的输入, 此时命令行上的输入将被忽略.
    
    -i  interface
    
        指定tcpdump 需要监听的接口.  如果没有指定, tcpdump 会从系统接口列表中搜寻编号最小的已配置好的接口(不包括 loopback 接口).一但找到第一个符合条件的接口, 搜寻马上结束.
    
        在采用2.2版本或之后版本内核的Linux 操作系统上, 'any' 这个虚拟网络接口可被用来接收所有网络接口上的数据包(nt: 这会包括目的是该网络接口的, 也包括目的不是该网络接口的). 需要注意的是如果真实网络接口不能工作在'混杂'模式(promiscuous)下,则无法在'any'这个虚拟的网络接口上抓取其数据包.
    
        如果 -D 标志被指定, tcpdump会打印系统中的接口编号,而该编号就可用于此处的interface 参数.
    
    -l  对标准输出进行行缓冲(nt: 使标准输出设备遇到一个换行符就马上把这行的内容打印出来).在需要同时观察抓包打印以及保存抓包记录的时候很有用. 比如, 可通过以下命令组合来达到此目的:
        ``tcpdump  -l  |  tee dat'' 或者 ``tcpdump  -l   > dat  &  tail  -f  dat''.(nt: 前者使用tee来把tcpdump 的输出同时放到文件dat和标准输出中, 而后者通过重定向操作'>', 把tcpdump的输出放到dat 文件中, 同时通过tail把dat文件中的内容放到标准输出中)
    
    -L  列出指定网络接口所支持的数据链路层的类型后退出.(nt: 指定接口通过-i 来指定)
    
    -m  module
        通过module 指定的file 装载SMI MIB 模块(nt: SMI,Structure of Management Information, 管理信息结构MIB, Management Information Base, 管理信息库. 可理解为, 这两者用于SNMP(Simple Network Management Protoco)协议数据包的抓取. 具体SNMP 的工作原理未知, 另需补充).
    
        此选项可多次使用, 从而为tcpdump 装载不同的MIB 模块.
    
    -M  secret  如果TCP 数据包(TCP segments)有TCP-MD5选项(在RFC 2385有相关描述), 则为其摘要的验证指定一个公共的密钥secret.
    
    -n  不对地址(比如, 主机地址, 端口号)进行数字表示到名字表示的转换.
    
    -N  不打印出host 的域名部分. 比如, 如果设置了此选现, tcpdump 将会打印'nic' 而不是 'nic.ddn.mil'.
    
    -O  不启用进行包匹配时所用的优化代码. 当怀疑某些bug是由优化代码引起的, 此选项将很有用.
    
    -p  一般情况下, 把网络接口设置为非'混杂'模式. 但必须注意 , 在特殊情况下此网络接口还是会以'混杂'模式来工作; 从而, '-p' 的设与不设, 不能当做以下选现的代名词:'ether host {local-hw-add}''ether broadcast'(nt: 前者表示只匹配以太网地址为host 的包, 后者表示匹配以太网地址为广播地址的数据包).
    
    -q  快速(也许用'安静'更好?)打印输出. 即打印很少的协议相关信息, 从而输出行都比较简短.
    
    -R  设定tcpdump 对 ESP/AH 数据包的解析按照 RFC1825而不是RFC1829(nt: AH, 认证头, ESP, 安全负载封装, 这两者会用在IP包的安全传输机制中). 如果此选项被设置, tcpdump 将不会打印出'禁止中继'域(nt: relay prevention field). 另外,由于ESP/AH规范中没有规定ESP/AH数据包必须拥有协议版本号域,所以tcpdump不能从收到的ESP/AH数据包中推导出协议版本号.
    
    -r  file
        从文件file 中读取包数据. 如果file 字段为 '-' 符号, 则tcpdump 会从标准输入中读取包数据.
    
    -S  打印TCP 数据包的顺序号时, 使用绝对的顺序号, 而不是相对的顺序号.(nt: 相对顺序号可理解为, 相对第一个TCP 包顺序号的差距,比如, 接受方收到第一个数据包的绝对顺序号为232323, 对于后来接收到的第2个,第3个数据包, tcpdump会打印其序列号为1, 2分别表示与第一个数据包的差距为1 和 2. 而如果此时-S 选项被设置, 对于后来接收到的第2个, 第3个数据包会打印出其绝对顺序号:232324, 232325).
    
    -s  snaplen
        设置tcpdump的数据包抓取长度为snaplen, 如果不设置默认将会是68字节(而支持网络接口分接头(nt: NIT, 上文已有描述,可搜索'网络接口分接头'关键字找到那里)的SunOS系列操作系统中默认的也是最小值是96).68字节对于IP, ICMP(nt: Internet Control Message Protocol,因特网控制报文协议), TCP 以及 UDP 协议的报文已足够, 但对于名称服务(nt: 可理解为dns, nis等服务), NFS服务相关的数据包会产生包截短. 如果产生包截短这种情况, tcpdump的相应打印输出行中会出现''[|proto]''的标志(proto 实际会显示为被截短的数据包的相关协议层次). 需要注意的是, 采用长的抓取长度(nt: snaplen比较大), 会增加包的处理时间, 并且会减少tcpdump 可缓存的数据包的数量, 从而会导致数据包的丢失. 所以, 在能抓取我们想要的包的前提下, 抓取长度越小越好.把snaplen 设置为0 意味着让tcpdump自动选择合适的长度来抓取数据包.
    
    -T  type
        强制tcpdump按type指定的协议所描述的包结构来分析收到的数据包.  目前已知的type 可取的协议为:
        aodv (Ad-hoc On-demand Distance Vector protocol, 按需距离向量路由协议, 在Ad hoc(点对点模式)网络中使用),
        cnfp (Cisco  NetFlow  protocol),  rpc(Remote Procedure Call), rtp (Real-Time Applications protocol),
        rtcp (Real-Time Applications con-trol protocol), snmp (Simple Network Management Protocol),
        tftp (Trivial File Transfer Protocol, 碎文件协议), vat (Visual Audio Tool, 可用于在internet 上进行电
        视电话会议的应用层协议), 以及wb (distributed White Board, 可用于网络会议的应用层协议).
    
    -t     在每行输出中不打印时间戳
    
    -tt    不对每行输出的时间进行格式处理(nt: 这种格式一眼可能看不出其含义, 如时间戳打印成1261798315)
    
    -ttt   tcpdump 输出时, 每两行打印之间会延迟一个段时间(以毫秒为单位)
    
    -tttt  在每行打印的时间戳之前添加日期的打印
    
    -u     打印出未加密的NFS 句柄(nt: handle可理解为NFS 中使用的文件句柄, 这将包括文件夹和文件夹中的文件)
    
    -U    使得当tcpdump在使用-w 选项时, 其文件写入与包的保存同步.(nt: 即, 当每个数据包被保存时, 它将及时被写入文件中,而不是等文件的输出缓冲已满时才真正写入此文件)
    
          -U 标志在老版本的libcap库(nt: tcpdump 所依赖的报文捕获库)上不起作用, 因为其中缺乏pcap_cump_flush()函数.
    
    -v    当分析和打印的时候, 产生详细的输出. 比如, 包的生存时间, 标识, 总长度以及IP包的一些选项. 这也会打开一些附加的包完整性检测, 比如对IP或ICMP包头部的校验和.
    
    -vv   产生比-v更详细的输出. 比如, NFS回应包中的附加域将会被打印, SMB数据包也会被完全解码.
    
    -vvv  产生比-vv更详细的输出. 比如, telent 时所使用的SB, SE 选项将会被打印, 如果telnet同时使用的是图形界面,
          其相应的图形选项将会以16进制的方式打印出来(nt: telnet 的SB,SE选项含义未知, 另需补充).
    
    -w    把包数据直接写入文件而不进行分析和打印输出. 这些包数据可在随后通过-r 选项来重新读入并进行分析和打印.
    
    -W    filecount
          此选项与-C 选项配合使用, 这将限制可打开的文件数目, 并且当文件数据超过这里设置的限制时, 依次循环替代之前的文件, 这相当于一个拥有filecount 个文件的文件缓冲池. 同时, 该选项会使得每个文件名的开头会出现足够多并用来占位的0, 这可以方便这些文件被正确的排序.
    
    -x    当分析和打印时, tcpdump 会打印每个包的头部数据, 同时会以16进制打印出每个包的数据(但不包括连接层的头部).总共打印的数据大小不会超过整个数据包的大小与snaplen 中的最小值. 必须要注意的是, 如果高层协议数据没有snaplen 这么长,并且数据链路层(比如, Ethernet层)有填充数据, 则这些填充数据也会被打印.(nt: so for link  layers  that pad, 未能衔接理解和翻译, 需补充 )
    
    -xx   tcpdump 会打印每个包的头部数据, 同时会以16进制打印出每个包的数据, 其中包括数据链路层的头部.
    
    -X    当分析和打印时, tcpdump 会打印每个包的头部数据, 同时会以16进制和ASCII码形式打印出每个包的数据(但不包括连接层的头部).这对于分析一些新协议的数据包很方便.
    
    -XX   当分析和打印时, tcpdump 会打印每个包的头部数据, 同时会以16进制和ASCII码形式打印出每个包的数据, 其中包括数据链路层的头部.这对于分析一些新协议的数据包很方便.
    
    -y    datalinktype
          设置tcpdump 只捕获数据链路层协议类型是datalinktype的数据包
    
    -Z    user
          使tcpdump 放弃自己的超级权限(如果以root用户启动tcpdump, tcpdump将会有超级用户权限), 并把当前tcpdump的用户ID设置为user, 组ID设置为user首要所属组的ID(nt: tcpdump 此处可理解为tcpdump 运行之后对应的进程)
    
          此选项也可在编译的时候被设置为默认打开.(nt: 此时user 的取值未知, 需补充)
    复制代码

    实用命令实例

    默认启动

    tcpdump

    普通情况下,直接启动tcpdump将监视第一个网络接口上所有流过的数据包。

     

    监视指定网络接口的数据包

    tcpdump -i eth1

    如果不指定网卡,默认tcpdump只会监视第一个网络接口,一般是eth0,下面的例子都没有指定网络接口。 

     

    监视指定主机的数据包

    打印所有进入或离开sundown的数据包.

    tcpdump host sundown

    也可以指定ip,例如截获所有210.27.48.1 的主机收到的和发出的所有的数据包

    tcpdump host 210.27.48.1 

    打印helios 与 hot 或者与 ace 之间通信的数据包

    tcpdump host helios and \( hot or ace \)

    截获主机210.27.48.1 和主机210.27.48.2 210.27.48.3的通信

    tcpdump host 210.27.48.1 and \ (210.27.48.2 or 210.27.48.3 \) 

    打印ace与任何其他主机之间通信的IP 数据包, 但不包括与helios之间的数据包.

    tcpdump ip host ace and not helios

    如果想要获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包,使用命令:

    tcpdump ip host 210.27.48.1 and ! 210.27.48.2

    截获主机hostname发送的所有数据

    tcpdump -i eth0 src host hostname

    监视所有送到主机hostname的数据包

    tcpdump -i eth0 dst host hostname

     

    监视指定主机和端口的数据包

    如果想要获取主机210.27.48.1接收或发出的telnet包,使用如下命令

    tcpdump tcp port 23 and host 210.27.48.1

    对本机的udp 123 端口进行监视 123 ntp的服务端口

    tcpdump udp port 123 


    Wireshark基本用法

    抓取报文:

      下载和安装好Wireshark之后,启动Wireshark并且在接口列表中选择接口名,然后开始在此接口上抓包。例如,如果想要在无线网络上抓取流量,点击无线接口。点击Capture Options可以配置高级属性,但现在无此必要。

      点击接口名称之后,就可以看到实时接收的报文。Wireshark会捕捉系统发送和接收的每一个报文。如果抓取的接口是无线并且选项选取的是混合模式,那么也会看到网络上其他报文。

      上端面板每一行对应一个网络报文,默认显示报文接收时间(相对开始抓取的时间点),源和目标IP地址,使用协议和报文相关信息。点击某一行可以在下面两个窗口看到更多信息。“+”图标显示报文里面每一层的详细信息。底端窗口同时以十六进制和ASCII码的方式列出报文内容。

     

      需要停止抓取报文的时候,点击左上角的停止按键。

     

    色彩标识:

      进行到这里已经看到报文以绿色,蓝色,黑色显示出来。Wireshark通过颜色让各种流量的报文一目了然。比如默认绿色是TCP报文,深蓝色是DNS,浅蓝是UDP,黑色标识出有问题的TCP报文——比如乱序报文。

     

    报文样本:

      比如说你在家安装了Wireshark,但家用LAN环境下没有感兴趣的报文可供观察,那么可以去Wireshark wiki下载报文样本文件。

      打开一个抓取文件相当简单,在主界面上点击Open并浏览文件即可。也可以在Wireshark里保存自己的抓包文件并稍后打开。

     

    过滤报文:

      如果正在尝试分析问题,比如打电话的时候某一程序发送的报文,可以关闭所有其他使用网络的应用来减少流量。但还是可能有大批报文需要筛选,这时要用到Wireshark过滤器。

      最基本的方式就是在窗口顶端过滤栏输入并点击Apply(或按下回车)。例如,输入“dns”就会只看到DNS报文。输入的时候,Wireshark会帮助自动完成过滤条件。

     

      也可以点击Analyze菜单并选择Display Filters来创建新的过滤条件。

     

      另一件很有趣的事情是你可以右键报文并选择Follow TCP Stream。

     

      你会看到在服务器和目标端之间的全部会话。

     

      关闭窗口之后,你会发现过滤条件自动被引用了——Wireshark显示构成会话的报文。

     

    检查报文:

      选中一个报文之后,就可以深入挖掘它的内容了。

      也可以在这里创建过滤条件——只需右键细节并使用Apply as Filter子菜单,就可以根据此细节创建过滤条件。

      Wireshark是一个非常之强大的工具,第一节只介绍它的最基本用法。网络专家用它来debug网络协议实现细节,检查安全问题,网络协议内部构件等等。

     


     

    一站式学习Wireshark(二):应用Wireshark观察基本网络协议

    TCP:

      TCP/IP通过三次握手建立一个连接。这一过程中的三种报文是:SYN,SYN/ACK,ACK。

      第一步是找到PC发送到网络服务器的第一个SYN报文,这标识了TCP三次握手的开始。

      如果你找不到第一个SYN报文,选择Edit -> Find Packet菜单选项。选择Display Filter,输入过滤条件:tcp.flags,这时会看到一个flag列表用于选择。选择合适的flag,tcp.flags.syn并且加上==1。点击Find,之后trace中的第一个SYN报文就会高亮出来了。

      注意:Find Packet也可以用于搜索十六进制字符,比如恶意软件信号,或搜索字符串,比如抓包文件中的协议命令。

      一个快速过滤TCP报文流的方式是在Packet List Panel中右键报文,并且选择Follow TCP Stream。这就创建了一个只显示TCP会话报文的自动过滤条件。

      

      这一步骤会弹出一个会话显示窗口,默认情况下包含TCP会话的ASCII代码,客户端报文用红色表示服务器报文则为蓝色。

      窗口类似下图所示,对于读取协议有效载荷非常有帮助,比如HTTP,SMTP,FTP。

     

      更改为十六进制Dump模式查看载荷的十六进制代码,如下图所示:

     

      关闭弹出窗口,Wireshark就只显示所选TCP报文流。现在可以轻松分辨出3次握手信号。

      注意:这里Wireshark自动为此TCP会话创建了一个显示过滤。本例中:(ip.addr eq 192.168.1.2 and ip.addr eq 209.85.227.19) and (tcp.port eq 80 and tcp.port eq 52336)

     

    SYN报文:

      图中显示的5号报文是从客户端发送至服务器端的SYN报文,此报文用于与服务器建立同步,确保客户端和服务器端的通信按次序传输。SYN报文的头部有一个32 bit序列号。底端对话框显示了报文一些有用信息如报文类型,序列号。

     

    SYN/ACK报文:

      7号报文是服务器的响应。一旦服务器接收到客户端的SYN报文,就读取报文的序列号并且使用此编号作为响应,也就是说它告知客户机,服务器接收到了SYN报文,通过对原SYN报文序列号加一并且作为响应编号来实现,之后客户端就知道服务器能够接收通信。

     

    ACK报文:

      8号报文是客户端对服务器发送的确认报文,告诉服务器客户端接收到了SYN/ACK报文,并且与前一步一样客户端也将序列号加一,此包发送完毕,客户端和服务器进入ESTABLISHED状态,完成三次握手。

     

    ARP & ICMP:

      开启Wireshark抓包。打开Windows控制台窗口,使用ping命令行工具查看与相邻机器的连接状况。

      

      停止抓包之后,Wireshark如下图所示。ARP和ICMP报文相对较难辨认,创建只显示ARP或ICMP的过滤条件。

     

    ARP报文:

      地址解析协议,即ARP(Address Resolution Protocol),是根据IP地址获取物理地址的一个TCP/IP协议。其功能是:主机将ARP请求广播到网络上的所有主机,并接收返回消息,确定目标IP地址的物理地址,同时将IP地址和硬件地址存入本机ARP缓存中,下次请求时直接查询ARP缓存。

    最初从PC发出的ARP请求确定IP地址192.168.1.1的MAC地址,并从相邻系统收到ARP回复。ARP请求之后,会看到ICMP报文。

     

    ICMP报文:

      网络控制消息协定(Internet Control Message Protocol,ICMP)用于TCP/IP网络中发送控制消息,提供可能发生在通信环境中的各种问题反馈,通过这些信息,令管理者可以对所发生的问题作出诊断,然后采取适当的措施解决。

    PC发送echo请求,收到echo回复如上图所示。ping报文被mark成Type 8,回复报文mark成Type 0。

    如果多次ping同一系统,在PC上删除ARP cache,使用如下ARP命令之后,会产生一个新的ARP请求。

    C:\> ping 192.168.1.1… ping output …C:\> arp –d *

     

    HTTP:

      HTTP协议是目前使用最广泛的一种基础协议,这得益于目前很多应用都基于WEB方式,实现容易,软件开发部署也简单,无需额外的客户端,使用浏览器即可使用。这一过程开始于请求服务器传送网络文件。

      从上图可见报文中包括一个GET命令,当HTTP发送初始GET命令之后,TCP继续数据传输过程,接下来的链接过程中HTTP会从服务器请求数据并使用TCP将数据传回客户端。传送数据之前,服务器通过发送HTTP OK消息告知客户端请求有效。如果服务器没有将目标发送给客户端的许可,将会返回403 Forbidden。如果服务器找不到客户端所请求的目标,会返回404。

      如果没有更多数据,连接可被终止,类似于TCP三次握手信号的SYN和ACK报文,这里发送的是FIN和ACK报文。当服务器结束传送数据,就发送FIN/ACK给客户端,此报文表示结束连接。接下来客户端返回ACK报文并且对FIN/ACK中的序列号加1。这就从服务器端终止了通信。要结束这一过程客户端必须重新对服务器端发起这一过程。必须在客户端和服务器端都发起并确认FIN/ACK过程。

     


     

    应用Wireshark IO图形工具分析数据流

    基本IO Graphs:

      IO graphs是一个非常好用的工具。基本的Wireshark IO graph会显示抓包文件中的整体流量情况,通常是以每秒为单位(报文数或字节数)。默认X轴时间间隔是1秒,Y轴是每一时间间隔的报文数。如果想要查看每秒bit数或byte数,点击“Unit”,在“Y Axis”下拉列表中选择想要查看的内容。这是一种基本的应用,对于查看流量中的波峰/波谷很有帮助。要进一步查看,点击图形中的任意点就会看到报文的细节。

      为了讲解方便,点击示例报文包,或用自己的wireshark点击Statistics – IO Graphs。这个抓包是HTTP下载遇到报文丢失的情况。

    注意:过滤条件为空,此图形显示所有流量。

      

      这个默认条件下的显示在大多数troubleshooting中并不是非常有用。将Y轴改为bits/tick这样就可以看到每秒的流量。从这张图可以看到峰值速率是300kbps左右。如果你看到有些地方流量下降为零,那可能是一个出问题的点。这个问题在图上很好发现,但在看报文列表时可能不那么明显。

     

    过滤:

      每一个图形都可以应用一个过滤条件。这里创建两个不同的graph,一个HTTP一个ICMP。可以看到过滤条件中Graph 1使用“http”Graph 2使用“icmp”。图中可以看到红色ICMP流量中有些间隙,进一步分析。

     

      创建两个图形,一个显示ICMP Echo(Type=8)一个显示ICMP Reply(Type=0)。正常情况下对于每一个echo请求会有一个连续的reply。这里的情况是:

      

    可以看到红色脉冲线(icmp type==0 – ICMP Reply)中间有间隙,而整张图中ICMP请求保持连续。这意味着有些reply没有接收到。这是由于报文丢失导致的reply drop。CLI中看到的ping信息如下:

     

    常用排错过滤条件:

      对于排查网络延时/应用问题有一些过滤条件是非常有用的:

    tcp.analysis.lost_segment:表明已经在抓包中看到不连续的序列号。报文丢失会造成重复的ACK,这会导致重传。

    tcp.analysis.duplicate_ack:显示被确认过不止一次的报文。大凉的重复ACK是TCP端点之间高延时的迹象。

    tcp.analysis.retransmission:显示抓包中的所有重传。如果重传次数不多的话还是正常的,过多重传可能有问题。这通常意味着应用性能缓慢和/或用户报文丢失。

    tcp.analysis.window_update:将传输过程中的TCP window大小图形化。如果看到窗口大小下降为零,这意味着发送方已经退出了,并等待接收方确认所有已传送数据。这可能表明接收端已经不堪重负了。

    tcp.analysis.bytes_in_flight:某一时间点网络上未确认字节数。未确认字节数不能超过你的TCP窗口大小(定义于最初3此TCP握手),为了最大化吞吐量你想要获得尽可能接近TCP窗口大小。如果看到连续低于TCP窗口大小,可能意味着报文丢失或路径上其他影响吞吐量的问题。

    tcp.analysis.ack_rtt:衡量抓取的TCP报文与相应的ACK。如果这一时间间隔比较长那可能表示某种类型的网络延时(报文丢失,拥塞,等等)。

     

      在抓包中应用以上一些过滤条件:

      注意:Graph 1是HTTP总体流量,显示形式为packets/tick,时间间隔1秒。Graph 2是TCP丢失报文片段。Graph 3是TCP 重复ACK。Graph 4是TCP重传。

    从这张图可以看到:相比于整体HTTP流量,有很多数量的重传以及重复ACK。从这张图中,可以看到这些事件发生的时间点,以及在整体流量中所占的比例。

     

    函数:

      IO Graphs有六个可用函数:SUM, MIN, AVG, MAX, COUNT, LOAD。

     

    MIN( ), AVG( ), MAX( )

      首先看一下帧之间的最小,平均和最大时间,这对于查看帧/报文之间的延时非常有用。我们可以将这些函数结合“frame.time_delta”过滤条件看清楚帧延时,并使得往返延时更为明显。如果抓包文件中包含不同主机之间的多个会话,而只想知道其中一个pair,可将“frame.time_delta”结合源和目标主机条件如“ip.addr==x.x.x.x &&ip.addr==y.y.y.y”。如下图所示:

    我们做了以下步骤:

    • 将Y轴设置为“Advanced”,让Caculation域可见。不做这一步就看不到计算选项。
    • X轴时间间隔1秒,所以每个柱状图代表1秒间隔的计算结果。
    • 过滤出两个特定IP地址的HTTP会话,使用条件:“(ip.addr==192.168.1.4&& ip.addr==128.173.87.169) && http”。
    • 使用3个不同的graph,分别计算Min(), Avg(), Max()。
    • 对每一个计算结果应用条件“frame.time_delta”,将style设置成“FBar”,显示效果最佳。

      从上图可见,在第106秒时数据流的MAX frame.delta_time达到0.7秒,这是一个严重延时并且导致了报文丢失。如果想要深入研究,只需要点击图中这一点,就会跳转至相应帧。对应于本例抓包文件中第1003个报文。如果你看见帧之间平均延时相对较低但突然某一点延时很长,可点击这一帧,看看这一时间点究竟发生了什么。

     

    Count( )       

    此函数计算时间间隔内事件发生的次数,在查看TCP分析标识符时很有用,例如重传。例图如下:

    imregergehhrage009

     

    Sum( )         

      该函数统计事件的累加值。有两种常见的用例是看在捕获TCP数据量,以及检查TCP序列号。让我们看看第一个TCP长度的例子。创建两个图,一个使用客户端IP 192.168.1.4为源,另一个使用客户端IP作为一个目的地址。每个图我们将sum()功能结合tcp.len过滤条件。拆分成两个不同的图我们就可以看到在一个单一的方向移动的数据量。

      从图表中我们可以看到,发送到客户端的数据量(IP.DST = = 192.168.1.4过滤条件)比来自客户端的数据量要高。在图中红色表示。黑条显示从客户端到服务器的数据,相对数据量很小。这是有道理的,因为客户只是请求文件和收到之后发送确认数据,而服务器发送大文件。很重要的一点是,如果你交换了图的顺序,把客户端的IP作为图1的目标地址,并且客户端IP作为图2的源地址,采用了FBAR的时候可能看不到正确的数据显示。因为图编号越低表示在前台显示,可能会覆盖较高图号。

     

      现在让我们看一下同一个数据包丢失和延迟的TCP序列号。

     

      可以在图中看到若干峰值和下降,表示TCP传输有问题。与正常TCP报文比较:

    这张图可以看到TCP序列号相当稳定地增加,表示传输平稳,没有过多重传或丢包。


    展开全文
  • wireshark则是一款功能强大,使用方便的数据包分析工具,tcpdump+wireshark组合使用,完美,perfect,让网络问题无处遁形。 1 tcpdumpwireshark基本介绍 1.1 tcpdump tcpdump是基于Unix系统的命令行式的...

    linux的tcpdump命令主要用于网络问题的调试中,通过抓取传输过程的数据包进行分析和调试。而wireshark则是一款功能强大,使用方便的数据包分析工具,tcpdump+wireshark组合使用,完美,perfect,让网络问题无处遁形。

    目录

    1 tcpdump及wireshark基本介绍

    1.1 tcpdump

    1.2 wireshark

    2 tcpdump抓包

    2.1 常用命令

    2.1.1 默认启动

    2.1.2 监视指定网络接口的数据包 

    2.1.3 监视指定主机的数据包

    2.1.4 指定抓包数量

    2.1.5 抓包精简显示

    2.1.6 按照协议类型抓包

    2.1.7 指定主机和端口号进行抓包

    2.1.8 抓包并保存

    2.2 tcpdump详细参数

    3 wireshark导入数据包进行分析


    1 tcpdump及wireshark基本介绍

    1.1 tcpdump

    tcpdump是基于Unix系统的命令行式的数据包嗅探工具,可以抓取流动在网卡上的数据包。默认情况下,tcpdump不会抓取本机内部通讯的报文。根据网络协议栈的规定,对于报文,即使是目的地是本机,也需要经过本机的网络协议层,所以本机通讯肯定是通过API进入了内核,并且完成了路由选择。

    linux抓包原理:

    Linux抓包是通过注册一种虚拟的底层网络协议来完成对网络报文(准确的说是网络设备)消息的处理权。当网卡接收到一个网络报文之后,它会遍历系统中所有已经注册的网络协议,例如以太网协议、x25协议处理模块来尝试进行报文的解析处理,这一点和一些文件系统的挂载相似,就是让系统中所有的已经注册的文件系统来进行尝试挂载,如果哪一个认为自己可以处理,那么就完成挂载。当抓包模块把自己伪装成一个网络协议的时候,系统在收到报文的时候就会给这个伪协议一次机会,让它来对网卡收到的报文进行一次处理,此时该模块就会趁机对报文进行窥探,也就是把这个报文完完整整的复制一份,假装是自己接收到的报文,汇报给抓包模块。

    1.2 wireshark

    wireshark是一种数据包分析工具,在各种网络应用中,比如通过思博伦的Spirent_TestCenter(TC)、Ixia测试仪抓取接口报文或者利用本文介绍的linux自带的tcpdump监听抓包工具,抓包后导出报文再导入wireshark工具中进行图形化分析。

    2 tcpdump抓包

    2.1 常用命令

    2.1.1 默认启动

    # tcpdump

    普通情况下,直接启动tcpdump将监视第一个网络接口上所有流过的数据包。但是由于linux默认网卡的问题,可能出现下面报错:

    tcpdump: packet printing is not supported for link type NFLOG: use -w

    此时,可以通过ifconfig或者ip address命令查看网卡信息,并通过指定网口进行数据抓包

    2.1.2 监视指定网络接口的数据包 

    # tcpdump -i ens33

    2.1.3 监视指定主机的数据包

    指定通过网口ens33, 并且进出口IP地址为10.193.12.119的数据包

    # tcpdump -i ens33 host 10.193.12.119

    指定通过网口ens33, 并且主机10.193.12.12 和主机10.193.17.4 或10.193.12.119之间的通信

    # tcpdump -i ens33 -n host 10.193.12.12 and \( 10.193.17.4 or 10.193.12.119 \)

    指定通过网口ens33, 并且主机10.193.12.12 和非主机10.193.17.4之间的通信

    # tcpdump -i ens33 -n host 10.193.12.12 and ! 10.193.17.4 

    指定通过网口ens33, 并且由主机10.193.12.12发送的所有数据

    # tcpdump -i ens33 -n src 10.193.12.12

    指定通过网口ens33, 并且由主机10.193.12.12接收的所有数据

    # tcpdump -i ens33 -n dst 10.193.12.12

    2.1.4 指定抓包数量

    指定通过网口ens33, 并且由主机10.193.12.12接收的连续5个数据包

    # tcpdump -i ens33 -n dst 10.193.12.12 -c 5

    2.1.5 抓包精简显示

    # tcpdump -i ens33 -n dst 10.193.12.12 -c 5 -q

    指定通过网口ens33, 并且由主机10.193.12.12接收的连续5个数据包,并采用精简显示,可与上图进行对比

    2.1.6 按照协议类型抓包

    以ping为例,我们知道ping的协议类型为icmp,我们可以指定icmp协议类型进行抓包

    # tcpdump -i ens33 -n icmp 

    2.1.7 指定主机和端口号进行抓包

    指定网卡ens33,端口号为55555并且ip地址为10.193.12.12的连续10个数据包

    # tcpdump -i ens33 -n tcp port 55555 and host 10.193.12.12 -c 10

    2.1.8 抓包并保存

    抓包并保存package.cap文件,可导出后再导入wireshark进行包分析

    # tcpdump -i ens33 -n  port 55555 and host 10.193.12.12 -c 10 -w package.cap

    2.2 tcpdump详细参数

    • -a 尝试将网络和广播地址转换成名称。
    • -c<数据包数目> 收到指定的数据包数目后,就停止进行倾倒操作。
    • -d 把编译过的数据包编码转换成可阅读的格式,并倾倒到标准输出。
    • -dd 把编译过的数据包编码转换成C语言的格式,并倾倒到标准输出。
    • -ddd 把编译过的数据包编码转换成十进制数字的格式,并倾倒到标准输出。
    • -e 在每列倾倒资料上显示连接层级的文件头。
    • -f 用数字显示网际网络地址。
    • -F<表达文件> 指定内含表达方式的文件。
    • -i<网络界面> 使用指定的网络截面送出数据包。
    • -l 使用标准输出列的缓冲区。
    • -n 不把主机的网络地址转换成名字。
    • -N 不列出域名。
    • -O 不将数据包编码最佳化。
    • -p 不让网络界面进入混杂模式。
    • -q 快速输出,仅列出少数的传输协议信息。
    • -r<数据包文件> 从指定的文件读取数据包数据。
    • -s<数据包大小> 设置每个数据包的大小。
    • -S 用绝对而非相对数值列出TCP关联数。
    • -t 在每列倾倒资料上不显示时间戳记。
    • -tt 在每列倾倒资料上显示未经格式化的时间戳记。
    • -T<数据包类型> 强制将表达方式所指定的数据包转译成设置的数据包类型。
    • -v 详细显示指令执行过程。
    • -vv 更详细显示指令执行过程。
    • -x 用十六进制字码列出数据包资料。
    • -w<数据包文件> 把数据包数据写入指定的文件。

    3 wireshark导入数据包进行分析

     

     

    展开全文
  • 需要在Android手机上抓包,最常用的抓包工具非tcpdump莫属,用tcpdump生成Wireshark识别的 pcap文件,然后将pcap文件下载到电脑上,用电脑上的Wireshark加载pcap文件,通过Wireshark分析tcpdump抓取的数据。...

    导读

    如果想分析Android下 某个APP的网络数据交互,需要在Android手机上抓包,最常用的抓包工具非tcpdump莫属,用tcpdump生成Wireshark识别的 pcap文件,然后将pcap文件下载到电脑上,用电脑上的Wireshark加载pcap文件,通过Wireshark分析tcpdump抓取的数据。

    15ee50c3a864a7698d1556e2698492ca.png

    一、安装tcpdump

    为Android手机安装tcpdump,首先必须将Android手机root,现在市面上常用的root工具都很傻瓜很强大,推荐使用root精灵,将手机root以后,我们就可以为手机安装tcpdump了。

    先下载tcpdump文件, 下载地址:http://pan.baidu.com/s/1sjM7wTZ

    adb push tcpdump /sdcard/

    adb su

    cat /sdcard/tcpdump > /system/bin/tcpdump

    上一条命令如果提示没有权限,接着执行如下命令尝试给 /system 目录增加写权限

    su

    mount

    在mount结果中找到包含/system的一行,类似如下:

    /dev/block/platform/msm_sdcc.1/by-name/system /system ext4 ro,seclabel,relatime,data=ordered 0 0

    去处/system前半行,即"/dev/block/platform/msm_sdcc.1/by-name/system",执行如下命令:

    mount -o remount /dev/block/platform/msm_sdcc.1/by-name/system /system

    这个时候/system就拥有写权限了,继续执行:

    cat /sdcard/tcpdump > /system/bin/tcpdump

    chmod 777 /system/bin/tcpdump

    到此为止,tcpdump就成功安装到了"/system/bin/"目录下,接着用如下命令还是抓包

    5513afe5e2420590ce37d49dec3e115b.png

    二、使用tcpdump抓包

    tcpdump -i wlan0 -s 0 -w /sdcard/1.pcap

    可以结束时使用Ctrl+c快捷键让tcpdump结束抓包,抓到数据会存到/sdcard/1.pcap文件内

    重新打开一个终端(Terminal),执行如下命令

    adb pull /sdcard/1.pcap .

    1.pcap文件被下载到了终端上的当前目录下

    三、安装Wireshark并分析pcap文件

    从Wireshark官网https://www.wireshark.org/下 载适合你系统的Wireshark,然后点击你下载后的Wireshark安装包安装好Wireshark,找到刚刚下载好的1.pcap文件,双击 1.pcap文件,1.pcap文件会自动被Wireshark打开。在Wireshark的Filter内输入如下一些过滤条件,可以更加方便地分析数 据来源。

    view plaincopy to clipboardprint?

    tcp.port == 80 //过滤来自80端口的TCP数据

    udp.port == 12345 //过滤来自12345端口的UDP数据

    ip.src == 192.168.0.1 //过滤源IP为192.168.0.1的数据

    ip.dst == 192.168.0.1 //过目的IP为192.168.0.1的数据

    以上过滤条件可以用and跟or相互组合,例如

    view plaincopy to clipboardprint?

    tcp.port == 80 and ip.src == 192.168.0.1 //过滤来自80端口,源IP为192.168.0.1的TCP数

    udp.port == 12345 or ip.dst == 192.168.0.1 //过滤来自12345端口的UDP数据,或者目的IP为192.168.0.1的数据

    展开全文
  • 如果想分析一、安装tcpdump为Android手机安装tcpdump,首先必须将Android手机root,现在市面上常用的root工具都很傻瓜很强大,推荐使用root精灵,将手机root以后,我们就可以为手机安装tcpdump了。先下载tcpdump文件...

    如果想分析

    一、安装tcpdump

    为Android手机安装tcpdump,首先必须将Android手机root,现在市面上常用的root工具都很傻瓜很强大,推荐使用root精灵,将手机root以后,我们就可以为手机安装tcpdump了。

    先下载tcpdump文件, 下载http://pan.baidu.com/s/1sjM7wTZ

    adb push tcpdump /sdcard/

    adb shell

    su

    cat /sdcard/tcpdump > /system/bin/tcpdump

    上一条命令如果提示没有权限,接着执行如下命令尝试给 /system 目录增加写权限

    su

    mount

    在mount结果中找到包含/system的一行,类似如下:

    /dev/block/platform/msm_sdcc.1/by-name/system /system ext4 ro,seclabel,relatime,data=ordered 0 0

    去处/system前半行,即/dev/block/platform/msm_sdcc.1/by-name/system,执行如下命令:

    mount -o remount /dev/block/platform/msm_sdcc.1/by-name/system /system

    这个时候/system就拥有写权限了

    继续执行

    cat /sdcard/tcpdump > /system/bin/tcpdump

    chmod 777 /system/bin/tcpdump

    到此为止,tcpdump就成功安装到了/system/bin/目录下,接着用如下命令还是抓包

    二、使用tcpdump抓包

    tcpdump -i wlan0 -s 0 -w /sdcard/1.pcap

    可以结束时使用Ctrl+c快捷键让tcpdump结束抓包,抓到数据会存到/sdcard/1.pcap文件内

    重新打开一个

    adb pull /sdcard/1.pcap .

    1.pcap文件被下载到了终端上的当前目录下

    三、安装Wireshark并分析pcap文件

    从Wireshark官网https://www.wireshark.org/下载适合你系统的Wireshark,然后点击你下载后的Wireshark安装包安装好Wireshark,找到刚刚下载好的1.pcap文件,双击1.pcap文件,1.pcap文件会自动被Wireshark打开。在Wireshark的Filter内输入如下一些过滤条件,可以更加方便地分析数据来源。

    tcp.port == 80 //过滤来自80端口的TCP数据

    udp.port == 12345 //过滤来自12345端口的UDP数据

    ip.src == 192.168.0.1 //过滤源IP为192.168.0.1的数据

    ip.dst == 192.168.0.1 //过目的IP为192.168.0.1的数据

    以上过滤条件可以用and跟or相互组合,例如

    tcp.port == 80 and ip.src == 192.168.0.1 //过滤来自80端口,源IP为192.168.0.1的TCP数

    udp.port == 12345 or ip.dst == 192.168.0.1 //过滤来自12345端口的UDP数据,或者目的IP为192.168.0.1的数据

    除非注明,文章均为CppLive 编程在线原创,转载请注明出处,谢谢。

    展开全文
  • 如果是在windows环境,可以使用wireshark直接抓包,如果是在linux环境下,可以使用tcpdump命令进行抓包tcpdump是Linux系统下的一款抓包命令集,工作原理是基于网卡抓取流动在网卡上的数据包。在Linux系统中由于...
  • tcpdump抓包命令和wireshark抓包分析

    万次阅读 多人点赞 2018-09-03 16:59:59
    tcpdump抓包命令 tcpdump 的抓包保存到文件的命令参数是-w xxx.cap 抓eth1的包 tcpdump -i eth1 -w /tmp/xxx.cap 抓 192.168.1.123的包 tcpdump -i eth1 host 192.168.1.123 -w /tmp/xxx.cap 抓192.168.1.123的...
  • tcp抓包命令:tcpdump -s 0 -i any -vvv -w /tmp/1.pcap wireshark 查看2个IP之间的网络时延: 菜单栏 Statistics→TCP Stream Graph→Round Trip time 效果如下: 往返时间(round-trip time, RTT)是指一个...
  • 主要介绍了Android中使用tcpdumpwireshark进行抓包分析技术介绍,本文讲解了下载并安装tcpdump、pc上安装wireshark等内容,需要的朋友可以参考下
  • 1.tcpdumpWireshark介绍 1.1tcpdump 在网络问题的调试中,tcpdump应该说是一个必不可少的工具,和大部分linux下优秀工具一样,它的特点就是简单而强大。它是基于Unix系统的命令行式的数据包嗅探工具,可以抓取...
  • WiresharkTcpDump抓包分析心得

    千次阅读 2018-11-16 13:50:32
     Wireshark是一个网络协议检测工具,支持Windows平台和Unix平台,我一般只在Windows平台下使用Wireshark,如果是Linux的话,我直接用tcpdump了,因为我工作环境中的Linux一般只有字符界面,且一般而言Linux都...
  • 简介用简单的话来定义tcpdump,就是:dump the traffic on a network,根据使用者的定义对网络上的数据包进行截获的包分析工具。tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、...
  • tcpdump抓包命令 tcpdump 的抓包保存到文件的命令参数是-w xxx.cap 抓eth1的包 tcpdump -i eth1 -w /tmp/xxx.cap 抓 192.168.1.123的包 tcpdump -i eth1 host 192.168.1.123 -w /tmp/xxx.cap 抓192.168.1.123...
  • 夜神模拟器tcpdump抓包教程
  • 由于CentOS7上yum安装的wireshark对CoAP的解析支持不太完善,而我windows上的wireshark可以完美支持,所以以往我先在CentOS上wireshark抓包,并保持,然后拷贝到Windows上来解析,但是这样没有实时性。后来发现...
  • 需要在Android手机上抓包,最常用的抓包工具非tcpdump莫属,用tcpdump生成Wireshark识别的 pcap文件,然后将pcap文件下载到电脑上,用电脑上的Wireshark加载pcap文件,通过Wireshark分析tcpdump抓取的数据。...
  • 最近在项目联调里碰到数据收发的争议,网上看到有人用tcpdump 来捕捉Linux系统的数据包然后丢到wireshark分析,本人觉得这样挺方便的,于是使用了一下,发觉效果不逊色在window 直接用wireshark 在Linux 里安装 ...
  • 聊聊 tcpdumpWireshark 抓包分析

    千次阅读 2016-06-24 11:07:15
    1 起因 ...在排查问题的过程中使用到了tcpdumpWireshark进行抓包分析。感觉这两个工具搭配起来干活,非常完美。所有的网络传输在这两个工具搭配下,都无处遁形。 为了更好、更
  • 近日在学习网卡驱动时,需要抓取网卡发送、接收数据的情况,于是找到了tcpdumpwireshark这两个工具,tcpdump是用来抓取数据的,wireshark则是用于分析抓取到的数据的,现将用法记录下来: Tcpdump使用方法 (1)...
  • 在windows上可以使用wireshark抓包,在linux上也有同款抓包工具那就是tcpdump,用tcpdump抓包,写入到文件中,然后在windows上使用wireshark分析。 tcpdump -n -i etho host 192.168.0.1 and 192.168.0.1 -w aa.pcap...
  • Linux下tcpdump抓包,用wireshark查看

    千次阅读 2019-01-07 20:22:53
    需要抓包分析,请用以下方法进行抓包: 1、SSH到 linux 服务器(本端)浮动地址,执行如下命令: tcpdump -npp host 129.0.55.1 and port 5059 -w dump.cap -s0 -i eht1 129.0.55.1换成实际的前台(对端)地址 eht...
  • wireshark安装使用与tcpdump抓包分析

    千次阅读 2018-05-08 18:11:57
    写这一篇博客的前景是因为在做测试的过程当中遇到了要使用wiresharktcpdump工具的场景,而且正好以前用的很多东西有点手生,给自己留一篇笔记,方便以后查阅。 环境介绍 系统环境: 这里所使用的 # uname -r...
  • 需要在Android手机上抓包,最常用的抓包工具非tcpdump莫属,用tcpdump生成Wireshark识别的 pcap文件,然后将pcap文件下载到电脑上,用电脑上的Wireshark加载pcap文件,通过Wireshark分析tcpdump抓取的数据。...
  • 本文将展示如何使用tcpdump抓包,以及如何用tcpdump和wireshark分析网络流量。 文中的例子比较简单,适合作为入门参考。1 基础环境准备为方便大家跟着上手练习,本文将搭建一个容器环境。1.1 Pull Docker镜像$ sudo ...
  • 在Centos6.5下通过使用tcpdump抓包wireshark分析包,初步了解抓包和解包。 原创文章欢迎转载,请保留出处。 若有任何疑问建议,欢迎回复。 邮箱:Maxwell_nc@163.com
  • 我们平时用的抓包工具一般就是wiresharktcpdump,前者有图形界面,当我们要远程登录到Linux主机抓包时,一般就只能选择tcpdump,并保存为文件,再拉到本地用wireshark打开。 很多时候这样就够了,但是如果希望实时...
  • 下午调试crawlermanager时,成同学反映:client...不放心,就使用tcpdump抓了一下,然后使用wireshark进行分析,成功定位了问题。 (1)运行tcpdump: tcpdump -s 0 -c 100 dst host 109.119.20.82 -w ./ta...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 9,202
精华内容 3,680
关键字:

tcpdump抓包wireshark分析