Linux使用tcpdump命令抓包并使用wireshark分析

 

Linux使用tcpdump命令抓包并使用wireshark分析

 

介绍

　　有时分析客户端和服务器网络交互的问题时，为了查找问题，需要分别在客户端和服务器上抓包，我们的客户端一般是windows上的，抓包比较简单，直接使用wireshark抓取即可。而服务器则是Linux，需要使用ssh远程登陆到Linux系统中，使用tcpdump命令开启抓包。

　　 tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤，并提供and、or、not等逻辑语句来帮助你去掉无用的信息。

 

 

基本使用

 

默认启动

?

1

tcpdump

注意：普通情况下，直接启动tcpdump将监视第一个网络接口上所有流过的数据包，第一个网络接口就是eth0。

 

 

监视指定网络接口的数据包

?

1	tcpdump -i eth1

　　

 

监视指定主机的数据包（主机pc1的ip为（210.27.48.1 ）

?

1	例子：抓取流进和流出主机pc1的eth0的流量<br><br>tcpdump host pc1<br>或者<br>tcpdump host 210.27.48.1

 

 

 

指定端口或协议服务

?

1	例子：抓取ip为210.27.48.1的icmp包<br>tcpdump host 210.27.48.1 and icmp <em><br><br></em>例子：抓取ip为210.27.48.1的80端口和110和25以外的其他端口的包 <em><br></em>tcpdump host 210.27.48.1 and ! port 80 and ! port 25 and ! port 110

　　

 

截获主机间的通信流量

?

1

打印helios 与 hot 或者与 ace 之间通信的数据包tcpdump host helios and \( hot or ace \)截获主机210.27.48.1 和主机210.27.48.2 或210.27.48.3的通信tcpdump host 210.27.48.1 and \ (210.27.48.2 or 210.27.48.3 \)如果想要获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包tcpdump ip host 210.27.48.1 and ! 210.27.48.2截获主机hostname发送的所有数据tcpdump src host hostname监视所有送到主机hostname的数据包tcpdump dst host hostname

　打印ace与任何其他主机之间通信的IP 数据包, 但不包括与helios之间的数据包.

     tcpdump ip host ace and not helios

　　

 

 

输出

?

1	tcpdump 的抓包保存到文件的命令参数是-w xxx.captcpdump -w /tmp/xxx.cap

 

 

 

实例演示

 

1.使用tcp抓包，连接ftp服务器

测试ftp服务器ip：112.65.173.59（用户名和密码不正确，仅测试）

测试用户名：admin

           密 码 ：admin123456

 

 

 2.拷贝到物理机，使用wireshark打开

 

 3.手动分析数据