溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
這篇文章將為大家詳細講解有關Linux中如何使用wireshark分析tcpdump抓取的數據包,文章內容質量較高,因此小編分享給大家做個參考,希望大家閱讀完這篇文章后對相關知識有一定的了解。
很多時候我們的系統部署在Linux系統上面,在一些情況下定位問題就需要查看各個系統之間發送數據報文是否正常,下面就簡單講解一下如何使用wireshark分析tcpdump抓取的數據包。網絡數據包截獲分析工具。支持針對網絡層、協議、主機、網絡或端口的過濾。并提供and、or、not等邏輯語句幫助去除無用的信息。
1、首先,通過yum查看tcpdump和wireshark所需要的軟件包
[root@wjq2 ~]# yum search tcpdump
Loaded plugins: product-id, refresh-packagekit, security, subscription-manager
This system is not registered to Red Hat Subscription Management. You can use subscription-manager to register.
================================================ N/S Matched: tcpdump =================================================
tcpdump.x86_64 : A network traffic monitoring tool
Name and summary matches only, use "search all" for everything.
[root@wjq2 ~]# yum search wireshark
Loaded plugins: product-id, refresh-packagekit, security, subscription-manager
This system is not registered to Red Hat Subscription Management. You can use subscription-manager to register.
=============================================== N/S Matched: wireshark ================================================
wireshark-gnome.x86_64 : Gnome desktop integration for wireshark and wireshark-usermode
wireshark.i686 : Network traffic analyzer
wireshark.x86_64 : Network traffic analyzer
Name and summary matches only, use "search all" for everything.
2、查看tcpdump和wireshark的軟件包是否安裝,可以發現,tcpdump已經安裝,wireshark沒有安裝
[root@wjq2 ~]# rpm -qa|grep wireshark
[root@wjq2 ~]# rpm -qa | grep tcpdump
tcpdump-4.0.0-3.20090921gitdf3cb4.2.el6.x86_64
3、使用yum安裝wireshark
[root@wjq2 tmp]# yum install wireshark* -y
[root@wjq2 tmp]# which tcpdump
/usr/sbin/tcpdump
[root@wjq2 tmp]# which wireshark
/usr/sbin/wireshark
4、下面對tcpdump命令的使用做一個詳細的說明
tcpdump的命令格式
tcpdump的參數眾多,通過man tcpdump或tcpdump -h可以查看tcpdump的詳細說明,這邊只列一些自己常用的參數:
[root@wjq2 tmp]# tcpdump -h
tcpdump version 4.1-PRE-CVS_2012_02_01
libpcap version 1.0.0
Usage: tcpdump [-aAdDefIKlLnNOpqRStuUvxX] [ -B size ] [ -c count ]
[ -C file_size ] [ -E algo:secret ] [ -F file ] [ -G seconds ]
[ -i interface ] [ -M secret ] [ -r file ]
[ -s snaplen ] [ -T type ] [ -w file ] [ -W filecount ]
[ -y datalinktype ] [ -z command ] [ -Z user ]
[ expression ]
tcpdump [-i 網卡] -nnAX '表達式' |
各參數說明如下:
-i:interface 監聽的網卡。
-nn:表示以ip和port的方式顯示來源主機和目的主機,而不是用主機名和服務。
-A:以ascii的方式顯示數據包,抓取web數據時很有用。
-X:數據包將會以16進制和ascii的方式顯示。
表達式:表達式有很多種,常見的有:host 主機;port 端口;src host 發包主機;dst host 收包主機。多個條件可以用and、or組合,取反可以使用。
下面是一些使用的例子
(1)不指定任何參數,監聽第一塊網卡上經過的數據包。主機上可能有不止一塊網卡,所以經常需要指定網卡。
tcpdump |
(2)監聽特定網卡
tcpdump -i eth0 |
(3)監聽特定主機:監聽本機跟主機10.1.1.123之間往來的通信包。
備注:出、入的包都會被監聽。
tcpdump host 10.1.1.123
(4)特定來源、目標地址的通信
特定來源
tcpdump src host hostname |
特定目標地址
tcpdump dst host hostname |
如果不指定src跟dst,那么來源 或者目標 是hostname的通信都會被監聽
tcpdump host hostname |
(5)特定端口
tcpdump port 3000 |
(6)監聽TCP/UDP
服務器上不同服務分別用了TCP、UDP作為傳輸層,假如只想監聽TCP的數據包
tcpdump tcp
(7)來源主機+端口+TCP
A、監聽來自主機123.207.116.169在端口22上的TCP數據包
tcpdump tcp port 22 and src host 123.207.116.169 |
B、監聽特定主機之間的通信
tcpdump ip host 210.27.48.1 and 210.27.48.2 |
C、210.27.48.1除了和210.27.48.2之外的主機之間的通信
tcpdump ip host 210.27.48.1 and ! 210.27.48.2 |
(8)稍微詳細點的例子
tcpdump tcp -i eth2 -t -s 0 -c 100 and dst port ! 22 and src net 192.168.1.0/24 -w ./target.cap |
說明:
tcp: ip icmp arp rarp 和 tcp、udp、icmp這些選項等都要放到第一個參數的位置,用來過濾數據報的類型
-i eth2 : 只抓經過接口eth2的包
-t : 不顯示時間戳
-s 0 : 抓取數據包時默認抓取長度為68字節。加上-S 0 后可以抓到完整的數據包
-c 100 : 只抓取100個數據包
dst port ! 22 : 不抓取目標端口是22的數據包
src net 192.168.1.0/24 : 數據包的源網絡地址為192.168.1.0/24
-w ./target.cap : 保存成cap文件,方便用ethereal(即wireshark)分析
(9)限制抓包的數量
如下,抓到1000個包后,自動退出
tcpdump -c 1000 |
(10)保存到本地
備注:tcpdump默認會將輸出寫到緩沖區,只有緩沖區內容達到一定的大小,或者tcpdump退出時,才會將輸出寫到本地磁盤
tcpdump -n -vvv -c 1000 -w /tmp/tcpdump_save.cap |
也可以加上-U強制立即寫到本地磁盤(一般不建議,性能相對較差)
(11)保存tcpdump抓包結果
[root@wjq2 tmp]# tcpdump -i eth0 -w eth0_dump.pcap
tcpdump: WARNING: eth0: no IPv4 address assigned
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
^C39 packets captured
39 packets received by filter
0 packets dropped by kernel
[root@wjq2 tmp]# ll -h eth0_dump.pcap
-rw-r--r-- 1 root root 3.4K Jan 18 11:19 eth0_dump.pcap
5、使用wireshark分析抓取的數據包:
[root@wjq2 tmp]# wireshark eth0_dump.pcap
上圖中標出三快區域:
紅色框內,是用來顯示簡單的數據包信息,用tcpdump抓包如時候,默認情況是顯示成這樣的;
綠色框內,是用來顯示選中的數據包的詳細信息,是按照TCP/IP四層結構顯示的,第一行是數據鏈路層的信息,第二行是網絡層信息(IP協議),第三行是傳輸層信息(TCP協議),第四層是應用層信息(HTTP協議),可以展開第一行用來觀察具體的內容;
藍色框中,是用來顯示此數據包的真實面目。(下圖列更清楚一些)
關于Linux中如何使用wireshark分析tcpdump抓取的數據包就分享到這里了,希望以上內容可以對大家有一定的幫助,可以學到更多知識。如果覺得文章不錯,可以把它分享出去讓更多的人看到。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
