wireshark和tcpdump笔记

发表于 2018-08-16  26 次阅读


抓包分析,你所抓取的包太大了会不容易分析,所以抓取每个包的前个80字节这样TCP层、网络层和数据链路层的信息都可以包含在内,包则会变的轻量,便于分析。

范例:tcpdump -i eth0 -s 80 -w /tmp/tcpdump.cap
理解:使用tcpdump抓位于eth0网卡上当前进行收发的前80个字节数据包并保存在/tmp/tcpdump.cap中

范例:tcpdump -i eth0 host 216.117.2.180 -w /tmp/tcpdump.cap
理解:使用tcpdump只抓取与216.117.2.180通讯的数据包,并保存。风险是有可能会过滤有用的数据包,比如有些ip经过NAT后地址有变化,而你的设置会抓不到目标IP的包。
只显示ip地址为216.117.2.180且TCP端口为443的过滤表达式

过滤器范例:ip.addr eq 216.117.2.180 &&tcp.port eq 443
理解:只抓取216.117.2.180且TCP端口为443的数据包

技巧:在wareshark中不同的协议过滤出来可以由不同的颜色来显示:视图-着色规则里进行设置。、

单纯的想过滤某种协议可以直接在过滤器中输入“协议名”比如 http tcp dup icmp......来进行过滤。

本站文章基于国际协议BY-NA-SA 4.0协议共享;
如未特殊说明,本站文章皆为原创文章,请规范转载。

0

专注于学习,生活,教育。