抓包工具的使用-wireshark/charles/fiddler/tcpdump

1.wireshark

打开后选择需要抓包的网卡接口，就可以开始抓包

搜索：&& ---且   || ---或  != 非

ip.addr==192.168.8.11 && dns

ip.src==192.168.8.12 && ip.dst==192.168.1.13

 

2.charles

也叫青花瓷，

使用参考：https://blog.csdn.net/qq_64388558/article/details/131452865

 

3.fiddler

使用参考：

https://baijiahao.baidu.com/s?id=1768752241408616407&wfr=spider&for=pc

https://www.cnblogs.com/conquerorren/p/8472285.html   

 

4.tcpdump

linux环境下tcpdump生成的抓包文件可以使用windows的wireshark打开

是一款强大的网络协议分析工具，在Linux和其他类Unix系统中广泛使用，用于在网络接口上捕获和分析网络数据包，在大多数系统上，使用tcpdump需要管理员权限，通常通过sudo命令获得

sudo tcpdum [options]

1. 控制输出细节：

   • -n 不进行主机名和端口号的反解析，提高速度。
   • -nn 同时禁止IP和端口号的反解析。
   • -X 或 -xx 输出每个数据包的内容，前者是混合16进制和ASCII表示，后者只显示16进制。
   • -v 或 -vv 提供更详细的信息。

使用样例：

tcpdump  监听默认网络接口

tcpdum -i  eth0  监听该接口的所有数据包

tcpdump "host 192.168.1.2"  监听这个主机的数据包

tcpdump "port 80" 监听这个端口的包

tcpdump -c 100  捕获到100个数据包就停止

tcpdump  -w mytest.pcap  抓到的包保存为mytest.pcap

tcpdump -i eth0 -n -c 1000 -w mytest.pcap tcp port 8080 and host 192.168.1.2  #监听eth0接口抓包100个就停止并保存到mytest.pcap，监听接口的8080端口tcp协议，IP地址是192.168.1.2