這篇文章將為大家詳細講解有關Linux中如何使用wireshark分析tcpdump抓取的數(shù)據(jù)包，文章內容質量較高，因此小編分享給大家做個參考，希望大家閱讀完這篇文章后對相關知識有一定的了解。

創(chuàng)新互聯(lián)主營安陽縣網站建設的網絡公司,主營網站建設方案,成都app開發(fā),安陽縣h5成都微信小程序搭建,安陽縣網站營銷推廣歡迎安陽縣等地區(qū)企業(yè)咨詢

很多時候我們的系統(tǒng)部署在Linux系統(tǒng)上面，在一些情況下定位問題就需要查看各個系統(tǒng)之間發(fā)送數(shù)據(jù)報文是否正常，下面就簡單講解一下如何使用wireshark分析tcpdump抓取的數(shù)據(jù)包。網絡數(shù)據(jù)包截獲分析工具。支持針對網絡層、協(xié)議、主機、網絡或端口的過濾。并提供and、or、not等邏輯語句幫助去除無用的信息。

1、首先，通過yum查看tcpdump和wireshark所需要的軟件包

[root@wjq2 ~]# yum search tcpdump

Loaded plugins: product-id, refresh-packagekit, security, subscription-manager

This system is not registered to Red Hat Subscription Management. You can use subscription-manager to register.

================================================ N/S Matched: tcpdump =================================================

tcpdump.x86_64 : A network traffic monitoring tool

  Name and summary matches only, use "search all" for everything.

[root@wjq2 ~]# yum search wireshark

Loaded plugins: product-id, refresh-packagekit, security, subscription-manager

This system is not registered to Red Hat Subscription Management. You can use subscription-manager to register.

=============================================== N/S Matched: wireshark ================================================

wireshark-gnome.x86_64 : Gnome desktop integration for wireshark and wireshark-usermode

wireshark.i686 : Network traffic analyzer

wireshark.x86_64 : Network traffic analyzer

  Name and summary matches only, use "search all" for everything.

2、查看tcpdump和wireshark的軟件包是否安裝，可以發(fā)現(xiàn)，tcpdump已經安裝，wireshark沒有安裝

[root@wjq2 ~]# rpm -qa|grep wireshark

[root@wjq2 ~]# rpm -qa | grep tcpdump

tcpdump-4.0.0-3.20090921gitdf3cb4.2.el6.x86_64

3、使用yum安裝wireshark

[root@wjq2 tmp]# yum install wireshark* -y

[root@wjq2 tmp]# which tcpdump

/usr/sbin/tcpdump

[root@wjq2 tmp]# which wireshark

/usr/sbin/wireshark

4、下面對tcpdump命令的使用做一個詳細的說明

tcpdump的命令格式

tcpdump的參數(shù)眾多，通過man tcpdump或tcpdump -h可以查看tcpdump的詳細說明，這邊只列一些自己常用的參數(shù)：

[root@wjq2 tmp]# tcpdump -h

tcpdump version 4.1-PRE-CVS_2012_02_01

libpcap version 1.0.0

Usage: tcpdump [-aAdDefIKlLnNOpqRStuUvxX] [ -B size ] [ -c count ]

                [ -C file_size ] [ -E algo:secret ] [ -F file ] [ -G seconds ]

                [ -i interface ] [ -M secret ] [ -r file ]

                [ -s snaplen ] [ -T type ] [ -w file ] [ -W filecount ]

                [ -y datalinktype ] [ -z command ] [ -Z user ]

                [ expression ]

tcpdump [-i網卡] -nnAX '表達式'

各參數(shù)說明如下：

-i：interface 監(jiān)聽的網卡。

-nn：表示以ip和port的方式顯示來源主機和目的主機，而不是用主機名和服務。

-A：以ascii的方式顯示數(shù)據(jù)包，抓取web數(shù)據(jù)時很有用。

-X：數(shù)據(jù)包將會以16進制和ascii的方式顯示。

表達式：表達式有很多種，常見的有：host 主機；port 端口；src host 發(fā)包主機；dst host 收包主機。多個條件可以用and、or組合，取反可以使用。

下面是一些使用的例子

（1）不指定任何參數(shù)，監(jiān)聽第一塊網卡上經過的數(shù)據(jù)包。主機上可能有不止一塊網卡，所以經常需要指定網卡。

tcpdump

（2）監(jiān)聽特定網卡

tcpdump -i eth0

（3）監(jiān)聽特定主機：監(jiān)聽本機跟主機10.1.1.123之間往來的通信包。

備注：出、入的包都會被監(jiān)聽。

tcpdump host 10.1.1.123

（4）特定來源、目標地址的通信

特定來源

tcpdump src host  hostname

特定目標地址

tcpdump dst host  hostname

如果不指定src跟dst，那么來源 或者目標 是hostname的通信都會被監(jiān)聽

tcpdump host  hostname

（5）特定端口

tcpdump port 3000

（6）監(jiān)聽TCP/UDP

服務器上不同服務分別用了TCP、UDP作為傳輸層，假如只想監(jiān)聽TCP的數(shù)據(jù)包

tcpdump tcp

（7）來源主機+端口+TCP

A、監(jiān)聽來自主機123.207.116.169在端口22上的TCP數(shù)據(jù)包

tcpdump tcp port  22 and src host 123.207.116.169

B、監(jiān)聽特定主機之間的通信

tcpdump ip host  210.27.48.1 and 210.27.48.2

C、210.27.48.1除了和210.27.48.2之外的主機之間的通信

tcpdump ip host  210.27.48.1 and ! 210.27.48.2

（8）稍微詳細點的例子

tcpdump tcp -i  eth2 -t -s 0 -c 100 and dst port ! 22 and src net 192.168.1.0/24 -w  ./target.cap

說明：

tcp: ip icmp arp rarp 和 tcp、udp、icmp這些選項等都要放到第一個參數(shù)的位置，用來過濾數(shù)據(jù)報的類型

-i eth2 : 只抓經過接口eth2的包

-t : 不顯示時間戳

-s 0 : 抓取數(shù)據(jù)包時默認抓取長度為68字節(jié)。加上-S 0 后可以抓到完整的數(shù)據(jù)包

-c 100 : 只抓取100個數(shù)據(jù)包

dst port ! 22 : 不抓取目標端口是22的數(shù)據(jù)包

src net 192.168.1.0/24 : 數(shù)據(jù)包的源網絡地址為192.168.1.0/24

-w ./target.cap : 保存成cap文件，方便用ethereal(即wireshark)分析

（9）限制抓包的數(shù)量

如下，抓到1000個包后，自動退出

tcpdump -c 1000

（10）保存到本地

備注：tcpdump默認會將輸出寫到緩沖區(qū)，只有緩沖區(qū)內容達到一定的大小，或者tcpdump退出時，才會將輸出寫到本地磁盤

tcpdump -n -vvv  -c 1000 -w /tmp/tcpdump_save.cap

也可以加上-U強制立即寫到本地磁盤（一般不建議，性能相對較差）

（11）保存tcpdump抓包結果

[root@wjq2 tmp]# tcpdump -i eth0 -w eth0_dump.pcap

tcpdump: WARNING: eth0: no IPv4 address assigned

tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes

^C39 packets captured

39 packets received by filter

0 packets dropped by kernel

[root@wjq2 tmp]# ll -h eth0_dump.pcap

-rw-r--r-- 1 root root 3.4K Jan 18 11:19 eth0_dump.pcap

5、使用wireshark分析抓取的數(shù)據(jù)包：

[root@wjq2 tmp]# wireshark eth0_dump.pcap

上圖中標出三快區(qū)域：

紅色框內，是用來顯示簡單的數(shù)據(jù)包信息，用tcpdump抓包如時候，默認情況是顯示成這樣的；

綠色框內，是用來顯示選中的數(shù)據(jù)包的詳細信息，是按照TCP/IP四層結構顯示的，第一行是數(shù)據(jù)鏈路層的信息，第二行是網絡層信息（IP協(xié)議），第三行是傳輸層信息（TCP協(xié)議），第四層是應用層信息（HTTP協(xié)議），可以展開第一行用來觀察具體的內容；

藍色框中，是用來顯示此數(shù)據(jù)包的真實面目。（下圖列更清楚一些）

關于Linux中如何使用wireshark分析tcpdump抓取的數(shù)據(jù)包就分享到這里了，希望以上內容可以對大家有一定的幫助，可以學到更多知識。如果覺得文章不錯，可以把它分享出去讓更多的人看到。

網頁題目：Linux中如何使用wireshark分析tcpdump抓取的數(shù)據(jù)包
網站路徑：http://www.rwnh.cn/article46/pgsghg.html

成都網站建設公司_創(chuàng)新互聯(lián)，為您提供軟件開發(fā)、手機網站建設、企業(yè)網站制作、電子商務、虛擬主機、網站導航

廣告

聲明：本網站發(fā)布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經允許不得轉載，或轉載時需注明來源： 創(chuàng)新互聯(lián)