Linux使用tcpdump命令抓包并使用wireshark分析
介绍
有时分析客户端和服务器网络交互的问题时,为了查找问题,需要分别在客户端和服务器上抓包,我们的客户端一般是windows上的,抓包比较简单,直接使用wireshark抓取即可。而服务器则是Linux,需要使用ssh远程登陆到Linux系统中,使用tcpdump命令开启抓包。
tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。
基本使用
默认启动
tcpdump
注意:普通情况下,直接启动tcpdump将监视第一个网络接口上所有流过的数据包,第一个网络接口就是eth0。
监视指定网络接口的数据包
tcpdump -i eth1
监视指定主机的数据包(主机pc1的ip为(210.27.48.1 )
例子:抓取流进和流出主机pc1的eth0的流量
tcpdump host pc1
或者
tcpdump host 210.27.48.1
指定端口或协议服务
例子:抓取ip为210.27.48.1的icmp包
tcpdump host 210.27.48.1 and icmp
例子:抓取ip为210.27.48.1的80端口和110和25以外的其他端口的包
tcpdump host 210.27.48.1 and ! port 80 and ! port 25 and ! port 110
截获主机间的通信流量
打印helios 与 hot 或者与 ace 之间通信的数据包
tcpdump host helios and ( hot or ace )
截获主机210.27.48.1 和主机210.27.48.2 或210.27.48.3的通信
tcpdump host 210.27.48.1 and (210.27.48.2 or 210.27.48.3 )
打印ace与任何其他主机之间通信的IP 数据包, 但不包括与helios之间的数据包.
tcpdump ip host ace and not helios
如果想要获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包
tcpdump ip host 210.27.48.1 and ! 210.27.48.2
截获主机hostname发送的所有数据
tcpdump src host hostname
监视所有送到主机hostname的数据包
tcpdump dst host hostname
输出
tcpdump 的抓包保存到文件的命令参数是-w xxx.cap
tcpdump -w /tmp/xxx.cap
实例演示
1.使用tcp抓包,连接ftp服务器
测试ftp服务器ip:112.65.173.59(用户名和密码不正确,仅测试)
测试用户名:admin
密 码 :admin123456
2.拷贝到物理机,使用wireshark打开
3.手动分析数据
