資料報分析 抓包

2022-08-17 15:48:17 字數 1088 閱讀 9687

wireshark(windows)

wireshark(前稱ethereal)是乙個網路封包分析軟體。網路封包分析軟體的功能是擷取網路封包,並盡可能顯示出最為詳細的網路封包資料。wireshark使用winpcap作為介面,直接與網絡卡進行資料報文交換。

tcpdump(linux)

tcpdump可以將網路中傳送的資料報完全截獲下來提供分析。它支援針對網路層、協議、主機、網路或埠的過濾,並提供and、or、not等邏輯語句來幫助你去掉無用的資訊。

一般情況下linux都自帶了tcpdump。

使用root使用者登入,執行tcpdump命令就可以開始抓包。這裡說明一下,如果使用ssh登入到遠端linux,然後直接執行tcpdump,會發現抓到大量的資料報,速度快的都看不清楚,這是因為tcpdump抓到的包傳送給遠端的終端顯示,同時又抓了這個包,再顯示,再抓取,造成了迴圈抓取。當然,這樣抓包沒有任何意義,除了證明你的網路是通的。

tcpdump -nn -i eth0 icmp

抓取ping包

tcpdump -c 5 -nn -i eth0 icmp

抓取到本機22埠包

tcpdump -c 10 -nn -i eth0 tcp dst port 22

解析包資料

tcpdump -c 2 -q -xx -vvv -nn -i eth0 tcp dst port 22

預設情況下,tcpdump抓包結果顯示在螢幕(嚴格點,專業點應該說是標準輸出)上,顯然這不利於進一步的資料分析,因此我們需要將抓包結果存放在檔案中。可以使用-w命令將結果儲存在檔案中,如:

tcpdump -w google.cap

環境因為工作環境中的linux一般只有字元介面,且一般而言linux都自帶的tcpdump,或者用tcpdump抓包以後用wireshark開啟分析。

參考 《wireshark資料報分析實戰》

抓包工具tcpdump用法說明

wireshark和tcpdump抓包分析心得

抓包概念大比較 資料報 資料報 分組

抓包概念大比較 資料報 資料報 分組 資料報 資料報和分組是常見的三個概念。他們是否一樣?如果不一樣,他們差別在 下面依次說明這三個詞。大學霸it達人 1.資料報 當應用程式按照協議格式構建好要傳送的資料。這時的資料稱為資料報文,簡稱資料報。特點是資料還沒有傳送。2.資料報 資料報在傳送的時候,會根...

Linux網路資料報分析

在linux下分析網路情況一般使用tcpdump命令。tcpdump命令後面一些常用引數 i eth0 這是網絡卡 w 檔名 將資料報儲存到檔案 c 100 只抓100個包 host 主機ip 只抓指定主機與本機的資料報 舉例 tcpdump c 2000 w home dg01.cap tcpdu...

Wireshark UDP資料報分析 廣播

udp協議 使用者資料報協議 udp協議是乙個簡單的面向資料報的傳輸層協議 程序的每個輸出操作都正好產生乙個 u d p資料報,並組裝成乙份待傳送的 i p資料報。udp協議的特點 udp是乙個無連線的協議 udp使用最大努力交付,不提供可靠性 udp頭部只有8個位元組 下面是udp資料報在ip資料...