tcpdump 抓包
wireshark工具分析

tcpdump抓包
tcpdump是一款強(qiáng)大的網(wǎng)絡(luò)抓包工具，運(yùn)行在Linux平臺上。熟悉tcpdump的使用能夠幫助我們分析、調(diào)試網(wǎng)絡(luò)數(shù)據(jù)。
作為互聯(lián)網(wǎng)上經(jīng)典的的系統(tǒng)管理員必備工具，tcpdump以其強(qiáng)大的功能，靈活的截取策略，成為每個(gè)高級的系統(tǒng)管理員分析網(wǎng)絡(luò)，排查問題等所必備的工具之一。在實(shí)際工作中，需要以root權(quán)限去執(zhí)行該命令。
一、常用命令選項(xiàng)
-i #指定監(jiān)聽網(wǎng)絡(luò)接口
-nn #進(jìn)行ip和端口名稱的轉(zhuǎn)換，一個(gè)n不要ip解析到域名，將協(xié)議轉(zhuǎn)換為端口
-w #將捕獲到的信息保存到文件中，且不分析和打印在屏幕
-r #從指定的文件中讀取數(shù)據(jù)，一般是-w保存的文件
-v #輸出稍微詳細(xì)的信息
-vv#輸出詳細(xì)的報(bào)文信息
二、安裝tcpdump工具
[root@tcpdump-server ~]# yum install -y tcpdump
實(shí)驗(yàn)環(huán)境
1.準(zhǔn)備兩臺機(jī)器
192.168.80.128 ----tcpdump-server
192.168.80.129 ----test-server
2.兩臺機(jī)器均關(guān)閉防火墻和selinux
六個(gè)標(biāo)記
SYN(synchronous建立聯(lián)機(jī))?
ACK(acknowledgement 確認(rèn)) 用.表示
PSH(push傳送)
FIN(finish結(jié)束)?
RST(reset重置)?
URG(urgent緊急)
==========
Sequence number(順序號碼)?
監(jiān)聽網(wǎng)卡端口為80的應(yīng)用發(fā)出和接收的所有http協(xié)議包
[root@tcpdump-server ~]# tcpdump -i ens33 ?port 80 -vv -nn
-w 2.txt 保存到路徑下那個(gè)文件中
[root@test-server ~]# curl http://192.168.80.128 ? #測試
監(jiān)視ens33網(wǎng)卡上源地址192.168.80.129的所有網(wǎng)絡(luò)包
[root@tcpdump-server ~]# tcpdump -i ens33 src 192.168.80.129
[root@test-server ~]# ssh 192.168.80.128 #測試
監(jiān)視ens33網(wǎng)卡上目的地址是192.168.80.129的所有網(wǎng)絡(luò)包
[root@tcpdump-server ~]# tcpdump -i ens33 dst 192.168.80.129
兩臺機(jī)器同時(shí)操作
[root@tcpdump-server ~]# ip a ?#查看自己網(wǎng)卡
#抓來自192.168.80.129這臺機(jī)器的imcp協(xié)議的包
[root@tcpdump-server ~]# tcpdump -i ens33 icmp -vv -nn
[root@test-server ~]# ping -c 1 192.168.80.128 #ping tcpdump的機(jī)器一次
PING 192.168.80.128 (192.168.80.128) 56(84) bytes of data.
64 bytes from 192.168.80.128: icmp_seq=1 ttl=64 time=0.751 ms

--- 192.168.80.128 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 0.751/0.751/0.751/0.000 ms
[root@tcpdump-server ~]# tcpdump -i ens33 icmp -vv -nn
tcpdump: listening on ens33, link-type EN10MB (Ethernet), capture size 262144 bytes
00:55:58.756161 IP (tos 0x0, ttl 64, id 33221, offset 0, flags [DF], proto ICMP (1), length 84)
? ? 192.168.80.129 > 192.168.80.128: ICMP echo request, id 1139, seq 1, length 64
00:55:58.756254 IP (tos 0x0, ttl 64, id 11681, offset 0, flags [none], proto ICMP (1), length 84)
? ? 192.168.80.128 > 192.168.80.129: ICMP echo reply, id 11

總結(jié)

以上是生活随笔為你收集整理的TCP抓包分析的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。