Linux使用tcpdump命令抓包并使用wireshark分析

 

Linux使用tcpdump命令抓包并使用wireshark分析

 

介绍

　　有时分析客户端和服务器网络交互的问题时，为了查找问题，须要分别在客户端和服务器上抓包，咱们的客户端通常是windows上的，抓包比较简单，直接使用wireshark抓取便可。而服务器则是Linux，须要使用ssh远程登录到Linux系统中，使用tcpdump命令开启抓包。

　　 tcpdump能够将网络中传送的数据包的“头”彻底截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤，并提供and、or、not等逻辑语句来帮助你去掉无用的信息。

 

 

基本使用

 

默认启动

tcpdump

注意：普通状况下，直接启动tcpdump将监视第一个网络接口上全部流过的数据包，第一个网络接口就是eth0。

 

 

监视指定网络接口的数据包

tcpdump -i eth1

　　

 

监视指定主机的数据包（主机pc1的ip为（210.27.48.1 ）

例子：抓取流进和流出主机pc1的eth0的流量

tcpdump host pc1
或者
tcpdump host 210.27.48.1

 

 

 

指定端口或协议服务

例子：抓取ip为210.27.48.1的icmp包
tcpdump host 210.27.48.1 and icmp

例子：抓取ip为210.27.48.1的80端口和110和25之外的其余端口的包 
tcpdump host 210.27.48.1 and ! port 80 and ! port 25 and ! port 110

　　

 

截获主机间的通讯流量

打印helios 与 hot 或者与 ace 之间通讯的数据包
tcpdump host helios and \( hot or ace \)

截获主机210.27.48.1 和主机210.27.48.2 或210.27.48.3的通讯
tcpdump host 210.27.48.1 and \ (210.27.48.2 or 210.27.48.3 \)

　打印ace与任何其余主机之间通讯的IP 数据包, 但不包括与helios之间的数据包.

     tcpdump ip host ace and not helios

若是想要获取主机210.27.48.1除了和主机210.27.48.2以外全部主机通讯的ip包
tcpdump ip host 210.27.48.1 and ! 210.27.48.2

截获主机hostname发送的全部数据
tcpdump src host hostname


监视全部送到主机hostname的数据包
tcpdump dst host hostname

　　

 

 

输出

tcpdump 的抓包保存到文件的命令参数是-w xxx.cap

tcpdump -w /tmp/xxx.cap

 

 

 

实例演示

 

1.使用tcp抓包，链接ftp服务器

测试ftp服务器ip：112.65.173.59（用户名和密码不正确，仅测试）

测试用户名：admin

           密 码 ：admin123456

 

 

 2.拷贝到物理机，使用wireshark打开

 

 3.手动分析数据

 

原文出处：https://www.cnblogs.com/-wenli/p/10126511.html