咨询热线:4006-75-4006

售前:9:00-23:30    备案:9:00-18:00    技术:7*24h

Linux使用tcpdump命令抓包并使用wireshark分析

2024-08-20 16:30:37 2248次

Linux使用tcpdump命令抓包并使用wireshark分析

蓝队云小课堂:


使用tcpdump抓包并使用 Wireshark分析网络流量是一项重要的网络管理和故障排除技能。以下是一个简单的步骤。

抓包

安装 tcpdump

在大多数Linux发行版上,您可以使用包管理器安装tcpdump。

例如,在基于Debian的系统上:

sudo apt-get install tcpdump

在基于Red Hat的系统上:

sudo yum install tcpdump


使用 tcpdump 抓包

要抓取所有接口的流量,可以使用以下命令:

sudo tcpdump -i any -w capture.pcap

-i any 表示监听所有网络接口。

-w capture.pcap表示将抓到的数据保存到capture.pcap文件中。

如果只想抓取特定接口(例如eth0),可以指定接口名称:

sudo tcpdump -i eth0 -w capture.pcap

要抓取特定端口的数据包(例如HTTP端口80),可以使用过滤器:

sudo tcpdump -i eth0 port 80 -w capture.pcap

捕获指定数量的数据包

您可以使用 -c选项来限制捕获的数据包数量:

sudo tcpdump -i eth0 -c 100 -w capture.pcap

实时查看抓包数据

如果希望在抓包过程中实时查看数据,可以不使用-w选项,而是直接在终端输出:

sudo tcpdump -i eth0


使用 Wireshark 分析抓包数据

安装 Wireshark

在大多数Linux发行版上,可以使用包管理器安装Wireshark。例如,在基于Debian的系统上:

sudo apt-get install wireshark

在基于Red Hat的系统上:

sudo yum install wireshark


打开抓包文件

启动Wireshark,然后打开tcpdump生成的capture.pcap文件。可以通过Wireshark的菜单 File > Open来打开文件。


基本分析步骤

过滤数据包:使用Wireshark的显示过滤器来筛选感兴趣的数据包。例如,过滤HTTP流量:

http

查看会话:使用 Statistics > Conversations 查看 TCP 会话,了解主机之间的通信情况。

分析特定流量:右键点击某个感兴趣的数据包,选择 Follow > TCP Stream 或 Follow > UDP Stream,可以查看特定会话的全部数据包。

检查错误和异常:使用Statistics > Protocol Hierarchy查看协议分布,识别异常流量。使用Analyze > Expert Information查看分析专家信息,以识别可能的错误和异常。


解读常见场景

HTTP请求与响应:在HTTP流量中,可以查看请求方法(如GET、POST)、URL、响应状态码(如200、404)、内容类型等。

DNS查询与响应:在DNS流量中,可以查看域名查询和响应的IP地址,识别解析时间和可能的解析失败。

TCP握手与关闭:查看TCP握手过程(SYN、SYN-ACK、ACK)和连接关闭过程(FIN、ACK),识别重传和连接超时问题。

SSL/TLS握手:在HTTPS流量中,可以查看SSL/TLS握手过程,识别加密协议和证书信息。


更多小知识,可联系蓝队云一起探讨。


首页
最新活动
个人中心