抓包命令:
1.指定網絡卡、蒐集所有報文、儲存到指定位置:tcpdump -i eth0 -s 0 -w /home/test.pcap
2.指定tcp/udp協議:tcpdump tcp -i eth0 -s 0 -w /home/test.pcap
3.指定源ip:tcpdump -i eth0 src host xx.xx.xx.xx
4.指定目的ip:tcpdump -i eth0 dst host xx.xx.xx.xx
5.指定源埠:tcpdump -i eth0 src port xx
6.指定目的埠:tcpdump -i eth0 dst port xx
報文檢視:使用wirshark工具解析檢視
報文過濾:
1.過濾ip:
過濾源ip:ip.src eq xx.xx.xx.xx 或者 ip.src == xx.xx.xx.xx
過濾目的ip:ip.dst eq xx.xx.xx.xx 或者 ip.dst == xx.xx.xx.xx
2.過濾埠:
過濾tcp源埠:tcp.srcport eq xx 或者 tcp.srcport == xx
過濾tcp目的埠:tcp.dstport eq xx 或者 tcp.dstport == xx
過濾udp埠和tcp類似,將tcp換為upd即可
3.過濾協議:
過濾tcp協議:tcp
過濾udp協議:udp
過濾http協議:http
過濾dns協議:dns
…4.過濾mac:
過濾源mac:eth.src eq xx:xx:xx:xx:xx:xx 或者 eth.src == xx:xx:xx:xx:xx:xx
過濾目的mac:eth.dst eq xx:xx:xx:xx:xx:xx 或者 eth.dst == xx:xx:xx:xx:xx:xx
5.http請求模式過濾:
get請求過濾:http.request.method == get(注意大寫)
post請求過濾:http.request.method == post(注意大寫)
上面是一些基本的過濾操作,wireshark中支援一些基本的運算符號,如下:
1.等於:eq 或 ==
2.大於:gt
3.小於:lt
4.大於等於:ge
5.不等於:ne
3.與、或:&&、or
http三次握手報文:
1.第一次握手:客戶端向服務端傳送syn報文
2.第二次握手:服務端向客戶端傳送syn+ack報文
3.第三次握手:客戶端向服務端傳送ack報文
具體詳情檢視下圖:
報文詳情:
frame: 物理層的資料幀概況
ethernet ii: 資料鏈路層乙太網幀頭部資訊
internet protocol version 4: 網際網路層ip包頭部資訊
transmission control protocol: 傳輸層t的資料段頭部資訊,此處是tcp
hypertext transfer protocol: 應用層的資訊,此處是http協議
Wireshark 網路抓包與分析工具
wireshark是世界上最流行的網路分析工具。這個強大的工具可以捕捉網路中的資料,並為使用者提供關於網路和上層協議的各種資訊。與很多其他網路工具一樣,wireshark也使用pcap network library來進行封包捕捉。wireshark的優勢 安裝方便。簡單易用的介面。提供豐富的功能。...
tcpdump 抓包與分析
tcpdump 抓包與分析 tcpdump抓的包內容可以用wireshark進行解析,如 tcpdump c1000 w tmp tcpdump.test.cap wireshark是開源軟體windows和linux下都可以執行,我在windows下測試的,用wireshark開啟 tcpdump...
掃瞄與抓包分析
一 使用nmap掃瞄來獲取指定主機 網段的相關資訊 yum y install nmap nmap 掃瞄型別 選項 掃瞄目標 常用的掃瞄型別 ss tcp syn掃瞄 半開 st tcp 連線掃瞄 全開 su udp掃瞄 sp icmp掃瞄 a 目標系統全面分析 n 不執行dns解析 注 大型掃瞄前...