Linux使用tcpdump命令抓包并使用wireshark分析

 

介绍

  有时分析客户端和服务器网络交互的问题时,为了查找问题,需要分别在客户端和服务器上抓包,我们的客户端一般是windows上的,抓包比较简单,直接使用wireshark抓取即可。而服务器则是Linux,需要使用ssh远程登陆到Linux系统中,使用tcpdump命令开启抓包。

   tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。

 

 

基本使用

 

默认启动

tcpdump

注意:普通情况下,直接启动tcpdump将监视第一个网络接口上所有流过的数据包,第一个网络接口就是eth0。

 

 

监视指定网络接口的数据包

tcpdump -i eth1

  

 

监视指定主机的数据包(主机pc1的ip为(210.27.48.1

例子:抓取流进和流出主机pc1的eth0的流量

tcpdump host pc1
或者
tcpdump host 210.27.48.1

 

 

 

指定端口或协议服务

例子:抓取ip为210.27.48.1的icmp包
tcpdump host 210.27.48.1 and icmp


例子:抓取ip为210.27.48.1的80端口和110和25以外的其他端口的包 
tcpdump host 210.27.48.1 and ! port 80 and ! port 25 and ! port 110

  

 

截获主机间的通信流量

打印helios 与 hot 或者与 ace 之间通信的数据包
tcpdump host helios and \( hot or ace \)

截获主机210.27.48.1 和主机210.27.48.2 或210.27.48.3的通信
tcpdump host 210.27.48.1 and \ (210.27.48.2 or 210.27.48.3 \)

 打印ace与任何其他主机之间通信的IP 数据包, 但不包括与helios之间的数据包.

     tcpdump ip host ace and not helios


如果想要获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包
tcpdump ip host 210.27.48.1 and ! 210.27.48.2

截获主机hostname发送的所有数据
tcpdump src host hostname


监视所有送到主机hostname的数据包
tcpdump dst host hostname

  

 

 

输出

tcpdump 的抓包保存到文件的命令参数是-w xxx.cap
tcpdump -w /tmp/xxx.cap

 

 

 

实例演示

 

1.使用tcp抓包,连接ftp服务器

测试ftp服务器ip:112.65.173.59(用户名和密码不正确,仅测试)

测试用户名:admin

           密 码 :admin123456

 

 

 2.拷贝到物理机,使用wireshark打开

 

 3.手动分析数据

 

版权声明:本文为-wenli原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://www.cnblogs.com/-wenli/p/10126511.html