99热在线精品一区二区三区_国产伦精品一区二区三区女破破_亚洲一区二区三区无码_精品国产欧美日韩另类一区

這篇文章將為大家詳細(xì)講解有關(guān)Linux中如何使用wireshark分析tcpdump抓取的數(shù)據(jù)包，文章內(nèi)容質(zhì)量較高，因此小編分享給大家做個(gè)參考，希望大家閱讀完這篇文章后對(duì)相關(guān)知識(shí)有一定的了解。

創(chuàng)新互聯(lián)建站堅(jiān)持“要么做到，要么別承諾”的工作理念，服務(wù)領(lǐng)域包括：成都網(wǎng)站建設(shè)、網(wǎng)站制作、企業(yè)官網(wǎng)、英文網(wǎng)站、手機(jī)端網(wǎng)站、網(wǎng)站推廣等服務(wù)，滿足客戶于互聯(lián)網(wǎng)時(shí)代的全南網(wǎng)站設(shè)計(jì)、移動(dòng)媒體設(shè)計(jì)的需求，幫助企業(yè)找到有效的互聯(lián)網(wǎng)解決方案。努力成為您成熟可靠的網(wǎng)絡(luò)建設(shè)合作伙伴！

很多時(shí)候我們的系統(tǒng)部署在Linux系統(tǒng)上面，在一些情況下定位問(wèn)題就需要查看各個(gè)系統(tǒng)之間發(fā)送數(shù)據(jù)報(bào)文是否正常，下面就簡(jiǎn)單講解一下如何使用wireshark分析tcpdump抓取的數(shù)據(jù)包。網(wǎng)絡(luò)數(shù)據(jù)包截獲分析工具。支持針對(duì)網(wǎng)絡(luò)層、協(xié)議、主機(jī)、網(wǎng)絡(luò)或端口的過(guò)濾。并提供and、or、not等邏輯語(yǔ)句幫助去除無(wú)用的信息。

1、首先，通過(guò)yum查看tcpdump和wireshark所需要的軟件包

[root@wjq2 ~]# yum search tcpdump

Loaded plugins: product-id, refresh-packagekit, security, subscription-manager

This system is not registered to Red Hat Subscription Management. You can use subscription-manager to register.

================================================ N/S Matched: tcpdump =================================================

tcpdump.x86_64 : A network traffic monitoring tool

  Name and summary matches only, use "search all" for everything.

[root@wjq2 ~]# yum search wireshark

Loaded plugins: product-id, refresh-packagekit, security, subscription-manager

This system is not registered to Red Hat Subscription Management. You can use subscription-manager to register.

=============================================== N/S Matched: wireshark ================================================

wireshark-gnome.x86_64 : Gnome desktop integration for wireshark and wireshark-usermode

wireshark.i686 : Network traffic analyzer

wireshark.x86_64 : Network traffic analyzer

  Name and summary matches only, use "search all" for everything.

2、查看tcpdump和wireshark的軟件包是否安裝，可以發(fā)現(xiàn)，tcpdump已經(jīng)安裝，wireshark沒(méi)有安裝

[root@wjq2 ~]# rpm -qa|grep wireshark

[root@wjq2 ~]# rpm -qa | grep tcpdump

tcpdump-4.0.0-3.20090921gitdf3cb4.2.el6.x86_64

3、使用yum安裝wireshark

[root@wjq2 tmp]# yum install wireshark* -y

[root@wjq2 tmp]# which tcpdump

/usr/sbin/tcpdump

[root@wjq2 tmp]# which wireshark

/usr/sbin/wireshark

4、下面對(duì)tcpdump命令的使用做一個(gè)詳細(xì)的說(shuō)明

tcpdump的命令格式

tcpdump的參數(shù)眾多，通過(guò)man tcpdump或tcpdump -h可以查看tcpdump的詳細(xì)說(shuō)明，這邊只列一些自己常用的參數(shù)：

[root@wjq2 tmp]# tcpdump -h

tcpdump version 4.1-PRE-CVS_2012_02_01

libpcap version 1.0.0

Usage: tcpdump [-aAdDefIKlLnNOpqRStuUvxX] [ -B size ] [ -c count ]

                [ -C file_size ] [ -E algo:secret ] [ -F file ] [ -G seconds ]

                [ -i interface ] [ -M secret ] [ -r file ]

                [ -s snaplen ] [ -T type ] [ -w file ] [ -W filecount ]

                [ -y datalinktype ] [ -z command ] [ -Z user ]

                [ expression ]

tcpdump [-i 網(wǎng)卡] -nnAX '表達(dá)式'

各參數(shù)說(shuō)明如下：

-i：interface 監(jiān)聽(tīng)的網(wǎng)卡。

-nn：表示以ip和port的方式顯示來(lái)源主機(jī)和目的主機(jī)，而不是用主機(jī)名和服務(wù)。

-A：以ascii的方式顯示數(shù)據(jù)包，抓取web數(shù)據(jù)時(shí)很有用。

-X：數(shù)據(jù)包將會(huì)以16進(jìn)制和ascii的方式顯示。

表達(dá)式：表達(dá)式有很多種，常見(jiàn)的有：host 主機(jī)；port 端口；src host 發(fā)包主機(jī)；dst host 收包主機(jī)。多個(gè)條件可以用and、or組合，取反可以使用。

下面是一些使用的例子

（1）不指定任何參數(shù)，監(jiān)聽(tīng)第一塊網(wǎng)卡上經(jīng)過(guò)的數(shù)據(jù)包。主機(jī)上可能有不止一塊網(wǎng)卡，所以經(jīng)常需要指定網(wǎng)卡。

tcpdump

（2）監(jiān)聽(tīng)特定網(wǎng)卡

tcpdump -i eth0

（3）監(jiān)聽(tīng)特定主機(jī)：監(jiān)聽(tīng)本機(jī)跟主機(jī)10.1.1.123之間往來(lái)的通信包。

備注：出、入的包都會(huì)被監(jiān)聽(tīng)。

tcpdump host 10.1.1.123

（4）特定來(lái)源、目標(biāo)地址的通信

特定來(lái)源

tcpdump src host  hostname

特定目標(biāo)地址

tcpdump dst host  hostname

如果不指定src跟dst，那么來(lái)源 或者目標(biāo) 是hostname的通信都會(huì)被監(jiān)聽(tīng)

tcpdump host  hostname

（5）特定端口

tcpdump port 3000

（6）監(jiān)聽(tīng)TCP/UDP

服務(wù)器上不同服務(wù)分別用了TCP、UDP作為傳輸層，假如只想監(jiān)聽(tīng)TCP的數(shù)據(jù)包

tcpdump tcp

（7）來(lái)源主機(jī)+端口+TCP

A、監(jiān)聽(tīng)來(lái)自主機(jī)123.207.116.169在端口22上的TCP數(shù)據(jù)包

tcpdump tcp port  22 and src host 123.207.116.169

B、監(jiān)聽(tīng)特定主機(jī)之間的通信

tcpdump ip host  210.27.48.1 and 210.27.48.2

C、210.27.48.1除了和210.27.48.2之外的主機(jī)之間的通信

tcpdump ip host  210.27.48.1 and ! 210.27.48.2

（8）稍微詳細(xì)點(diǎn)的例子

tcpdump tcp -i  eth2 -t -s 0 -c 100 and dst port ! 22 and src net 192.168.1.0/24 -w  ./target.cap

說(shuō)明：

tcp: ip icmp arp rarp 和 tcp、udp、icmp這些選項(xiàng)等都要放到第一個(gè)參數(shù)的位置，用來(lái)過(guò)濾數(shù)據(jù)報(bào)的類型

-i eth2 : 只抓經(jīng)過(guò)接口eth2的包

-t : 不顯示時(shí)間戳

-s 0 : 抓取數(shù)據(jù)包時(shí)默認(rèn)抓取長(zhǎng)度為68字節(jié)。加上-S 0 后可以抓到完整的數(shù)據(jù)包

-c 100 : 只抓取100個(gè)數(shù)據(jù)包

dst port ! 22 : 不抓取目標(biāo)端口是22的數(shù)據(jù)包

src net 192.168.1.0/24 : 數(shù)據(jù)包的源網(wǎng)絡(luò)地址為192.168.1.0/24

-w ./target.cap : 保存成cap文件，方便用ethereal(即wireshark)分析

（9）限制抓包的數(shù)量

如下，抓到1000個(gè)包后，自動(dòng)退出

tcpdump -c 1000

（10）保存到本地

備注：tcpdump默認(rèn)會(huì)將輸出寫到緩沖區(qū)，只有緩沖區(qū)內(nèi)容達(dá)到一定的大小，或者tcpdump退出時(shí)，才會(huì)將輸出寫到本地磁盤

tcpdump -n -vvv  -c 1000 -w /tmp/tcpdump_save.cap

也可以加上-U強(qiáng)制立即寫到本地磁盤（一般不建議，性能相對(duì)較差）

（11）保存tcpdump抓包結(jié)果

[root@wjq2 tmp]# tcpdump -i eth0 -w eth0_dump.pcap

tcpdump: WARNING: eth0: no IPv4 address assigned

tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes

^C39 packets captured

39 packets received by filter

0 packets dropped by kernel

[root@wjq2 tmp]# ll -h eth0_dump.pcap

-rw-r--r-- 1 root root 3.4K Jan 18 11:19 eth0_dump.pcap

5、使用wireshark分析抓取的數(shù)據(jù)包：

[root@wjq2 tmp]# wireshark eth0_dump.pcap

上圖中標(biāo)出三快區(qū)域：

紅色框內(nèi)，是用來(lái)顯示簡(jiǎn)單的數(shù)據(jù)包信息，用tcpdump抓包如時(shí)候，默認(rèn)情況是顯示成這樣的；

綠色框內(nèi)，是用來(lái)顯示選中的數(shù)據(jù)包的詳細(xì)信息，是按照TCP/IP四層結(jié)構(gòu)顯示的，第一行是數(shù)據(jù)鏈路層的信息，第二行是網(wǎng)絡(luò)層信息（IP協(xié)議），第三行是傳輸層信息（TCP協(xié)議），第四層是應(yīng)用層信息（HTTP協(xié)議），可以展開第一行用來(lái)觀察具體的內(nèi)容；

藍(lán)色框中，是用來(lái)顯示此數(shù)據(jù)包的真實(shí)面目。（下圖列更清楚一些）

關(guān)于Linux中如何使用wireshark分析tcpdump抓取的數(shù)據(jù)包就分享到這里了，希望以上內(nèi)容可以對(duì)大家有一定的幫助，可以學(xué)到更多知識(shí)。如果覺(jué)得文章不錯(cuò)，可以把它分享出去讓更多的人看到。

網(wǎng)站標(biāo)題：Linux中如何使用wireshark分析tcpdump抓取的數(shù)據(jù)包-創(chuàng)新互聯(lián)
鏈接地址：http://www.ef60e0e.cn/article/cspces.html