zoukankan      html  css  js  c++  java
  • WireShark与tcpdump的使用

    1.WireShark重点

    抓包前:

    • 网卡选择必选
    • 报文数量(分组) 实时显示一般要指定抓包数量,不需要实时查看的情况下可以关闭实时显示,都可以节省资源,防止流量过载导致软件和系统崩溃。
    • 重点掌握的过滤式:

    基于地址的:host www.qq.com 或host 2.3.4.5
    基于mac: ether host 00:00:5e:00:53:00
    基于协议的:tcp udp icmp dns ftp arp...
    基于端口:tcp port 80 源端口tcp src port 80 目的端口tcp dst port 80
    udp port 123 源端口udp src port 123 目的端口udp dst port 123

    抓包后:

    1. 基于地址的:ip.addr == 2.3.4.5 或ip.addr eq 2.3.4.5 源IP ip.src eq 2.3.4.5 目的IP ip.dst eq 2.3.4.5
    2. 基于mac: eth.addr == 00:00:5e:00:53:00
    3. 基于协议的:tcp udp icmp dns ftp arp ...
    4. 基于端口:tcp.port == 80 源端口tcp.srcport eq 3306 目的端口tcp.dstport eq 3389 udp.port eq 53 源端口udp.srcport eq 53 目的端口udp.dstport eq 53
    5. 基于TCP 标志位的:syn syn_ack ack fin fin_ack rst psh_ack syn:tcp.flags eq 0x002 psh_ack:tcp.flags eq 0x018
    6. 基于报文内容的:data.data //查看数据载荷 http.request //查看HTTP 请求 http.request.method eq POST //查看HTTP 请求的post 方法
    7. 基于报文长度的:data.len > >= == 比如: data.len >=1400
    8. 多个过滤式组合使用与或非
      与:and && 比如筛选2.2.2.2 的tcp1433 端口: ip.addr eq 2.2.2.2 and tcp.port eq 1433
      或:or || 比如筛选1.1.1.1 或2.2.2.2 的数据包: ip.addr eq 1.1.1.1 or ip.addr eq 2.2.2.2
      非:! 比如去掉arp 报文: !arp

    2.tcpdump

    用于linux 系统上报文捕捉
    检查是否安装:rpm -qa | grep tcpdump
    安装:centos 系统:yum install -y tcpdump
    Ubuntu 系统:apt-get install tcpdump
    报文捕捉:
      常用参数:

    • -i 指定接口
    • -c 指定报文数量
    • -w 指定写入位置举例:tcpdump -i eth0 -c 5000 -w /tmp/20190511.cap 

    抓完以后使用winscp 连接linux 服务器取回数据包,再用wireshark 进行数据分析


  • 相关阅读:
    su和sudo命令详解
    JS线程Web worker
    Navicat 批处理 自动备份数据库
    MySql【Error笔记】
    vue入门
    动态库
    环境变量
    cmake_learn
    自动编译
    网络编程
  • 原文地址:https://www.cnblogs.com/ashjo009/p/12929323.html
Copyright © 2011-2022 走看看