wireshark抓包
Websocket抓包
(1.)通过wirshark抓,需要在websocket连接的时候开始抓,如果已经连上则抓不到包
# 显示指定端口,http和websocket协议的数据包
tcp.port == 8088 && (http || websocket)
# 说明:
必须从WebSocket建立连接时开始抓包,否则无法过滤出来WebSocket协议数据
不能过滤使用SSL/TLS连接的WebSocket数据包
(2.) 使用tcpdump抓包
tcpdump -vn -i eth0 port 8088 -w /home/root/websocket2.cap
(3.) tcpdump参数说明
tcpdump 抓包
-c:指定要抓取的包数量。
-i interface:指定tcpdump需要监听的接口。默认会抓取第一个网络接口
-n:对地址以数字方式显式,否则显式为主机名,也就是说-n选项不做主机名解析。
-nn:除了-n的作用外,还把端口显示为数值,否则显示端口服务名。
-P:指定要抓取的包是流入还是流出的包。可以给定的值为"in"、"out"和"inout",默认为"inout"。
-s len:设置tcpdump的数据包抓取长度为len,如果不设置默认将会是65535字节。对于要抓取的数据包较大时,长度设置不够可能会产生包截断
:输出行中会出现"[|proto]"的标志(proto实际会显示为协议名)。但是抓取len越长,包的处理时间越长,并且会减少tcpdump可缓存的数据包的数量,
:从而会导致数据包的丢失,所以在能抓取我们想要的包的前提下,抓取长度越小越好。
输出选项:
-e:输出的每行中都将包括数据链路层头部信息,例如源MAC和目标MAC。
-q:快速打印输出。即打印很少的协议相关信息,从而输出行都比较简短。
-X:输出包的头部数据,会以16进制和ASCII两种方式同时输出。
-XX:输出包的头部数据,会以16进制和ASCII两种方式同时输出,更详细。
-v:当分析和打印的时候,产生详细的输出。
-vv:产生比-v更详细的输出。
-vvv:产生比-vv更详细的输出。
其他功能性选项:
-D:列出可用于抓包的接口。将会列出接口的数值编号和接口名,它们都可以用于"-i"后。
-F:从文件中读取抓包的表达式。若使用该选项,则命令行中给定的其他表达式都将失效。
-w:将抓包数据输出到文件中而不是标准输出。可以同时配合"-G
time"选项使得输出文件每time秒就自动切换到另一个文件。可通过"-r"选项载入这些文件以进行分析和打印。
-r:从给定的数据包文件中读取数据。使用"-"表示从标准输入中读取。
wirshark抓取protobuf包
(1.)设置proto文件路径
Edit->Preferences->Protocols->ProtoBuf->Protobuf search paths
Unsniff Network Analyzer 抓取protobuf包
参考链接
https://www.cnblogs.com/songwenjie/p/8575579.html
https://wiki.wireshark.org/Protobuf.md
https://blog.csdn.net/jasonhwang/article/details/109271066
https://www.unleashnetworks.com/resources/articles/115-analyzing-protobuf-encoding-streams.html
【励志篇】:
古之成大事掌大学问者,不惟有超世之才,亦必有坚韧不拔之志。