数据包分析：抓包

Wireshark（windows）

Wireshark（前称Ethereal）是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口，直接与网卡进行数据报文交换。

 

tcpdump（linux）

TcpDump可以将网络中传送的数据包完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤，并提供and、or、not等逻辑语句来帮助你去掉无用的信息。

一般情况下Linux都自带了tcpdump。

使用root用户登录，运行tcpdump命令就可以开始抓包。这里说明一下，如果使用SSH登录到远程Linux，然后直接运行tcpdump，会发现抓到大量的数据包，速度快的都看不清楚，这是因为tcpdump抓到的包发送给远程的终端显示，同时又抓了这个包，再显示，再抓取，造成了循环抓取。当然，这样抓包没有任何意义，除了证明你的网络是通的。

tcpdump -nn -i eth0 icmp

 

抓取ping包

tcpdump -c 5 -nn -i eth0 icmp

 

抓取到本机22端口包

tcpdump -c 10 -nn -i eth0 tcp dst port 22 

 

解析包数据

tcpdump -c 2 -q -XX -vvv -nn -i eth0 tcp dst port 22

 

默认情况下，tcpdump抓包结果显示在屏幕（严格点，专业点应该说是标准输出）上，显然这不利于进一步的数据分析，因此我们需要将抓包结果存放在文件中。可以使用-w命令将结果保存在文件中，如：

tcpdump -w google.cap

  

环境

因为工作环境中的Linux一般只有字符界面，且一般而言Linux都自带的tcpdump，或者用tcpdump抓包以后用Wireshark打开分析。

 

参考 

《Wireshark数据包分析实战》

抓包工具tcpdump用法说明
Wireshark和TcpDump抓包分析心得