預置條件:linux上已有tcpdump客戶端並有可執行的許可權
./tcpdump -i any -n port 8443 or host 192.168.4.5 -w test.pcap
該命令是 抓8443埠的資料報或者192.168.4.5的包並生成為pcap檔案,可供wireshark 使用
-i 是網絡卡,any 是所有網絡卡,也可這樣子指定只抓eth0 網絡卡的包 ./tcpdump -i eth0 -n port 8443 or host 192.168.4.5 -w eth0.pcap
-n 是把抓包的機子資訊,轉化數字
未加n的時候
加n的時候
後的port 和 host 都為條件,譬如有dst src 這樣子的條件,條件可以根據實際情況去設定
-w 是指定生成檔案
生成檔案後,利用wireshark分析抓到的資料
檔案直接匯入後。wireshark的資料報分析,filter功能是最離不開的~
經常用到的過濾條件:
tcp.port 指定tcp協議,並指定是哪個埠的資料報,然後 可以多個條件 or and 等條件
譬如 該過濾條件:
tcp.flags.ack == 1 and tcp.port == 8045
tcp.flags.ack==1 指定 資料報包含ack 標誌
tcp.flags.fin == 1 資料報包含fin 標誌
在 wireshark中有 expression 中 所有可用的過濾條件都在裡面,可根據實際要求去檢視,如果看不懂,請補充一下tcp 的三次握手和四次揮手以及資料報的傳送
然後還有給比較重要常用的功能follow tcp stream
如果其他的內容下次補充
tcpdump抓包分析利器 wireshark
wireshark有mac版和win版,fiddler有win版。下面看下wireshark怎麼用 先抓點包 zjy ubuntu sudo tcpdump iany w dump.pcap tcpdump listening on any,link type linux sll linux coo...
tcpdump如何抓界麵包 tcpdump抓包命令
一.選項 tcpdump支援相當多的引數,如使用 i引數指定tcpdump監聽的網路介面,這在計算機具有多個網路介面時非常有用,使用 c引數指定要監聽的資料報數量,使用 w引數指定將監聽到的資料報寫入檔案中儲存,等等。如下 a 將網路位址和廣播位址轉變成名字 b 在資料 鏈路層上選擇協議,包括ip ...
TCP三次握手和四次揮手及wireshark抓取
tcp的三次握手與四次揮手的詳細介紹 三次握手 第一次握手 syn 1,seq x 客戶端傳送客戶端傳送乙個 tcp 的 syn 標誌位置1的,指明客戶端打算連線的伺服器的埠,以及初始序號 x,儲存在包頭的序列號 sequence number 欄位裡。第二次握手 syn 1,ack 1,seq y...