常用抓包工具分析

常用的抓包工具有:
tcpdump (linux)
wireshark (windows)
tcpflow (linux)
httpwatch (windows)
浏览器自带抓包工具 (windows)

tcpdump (linux)

tcpdump是linux下的抓包工具,一般使用比较习惯于,在linux下用tcpdump抓包,结果存入文件,把文件导入windows下用windows下的wireshark分析。
常用抓包工具分析_第1张图片

常用参数

-i:指定监听网卡
-w /1.pcap:结果保存成pcap文件,方便用wireshark查看
host:指定抓取的IP
-s:指定抓取数据包长度,默认长度68字节

举例

这里写图片描述
224 packets captured 实际被tcpdump捕获并处理的数据包;
224 packets received by filter 实际被过滤器接收的数据包(抓包是可以指定过滤条件的);
0 packets dropped by kernel 被核心(libcap)丢弃的数据包,通常是由于上层没有及时取走数据导致缓冲区满,旧的数据包被覆盖丢弃。

备注

1、 如果要分析数据的话,-s一般要指定大一点,因为一个数据包除了实际数据外,还有各个协议层加的包头长度(如下图),TCP的所有包头就已经有54个字节,如果-s参数指定的数字小于54,那么实际传输的数据都抓不到的。如果-s指定的比较少,一般只是为了分析传输过程(比如:TCP是怎么握手,怎么断开的 等等),而不分析传输的实际数据。
常用抓包工具分析_第2张图片
2、 抓包的过滤条件尽量写得精确,缩小抓包范围,比如:指定要抓发往某个IP的数据包。

更为详细的使用介绍可以参考下面的链接:
http://www.cnblogs.com/ggjucheng/archive/2012/01/14/2322659.html

wireshark (windows)

使用三步骤
step1:指定要监听(抓包)的网卡;
step2:抓包后,指定显示过滤条件;
step3:分析。

一般启动wireshark后,就可以直接指定要抓取的网卡,如下:
常用抓包工具分析_第3张图片
有流量的网卡就会有曲线,如上图中红框所示。

指定网卡后,wireshark就开始抓包了,如下:
常用抓包工具分析_第4张图片
现在就可以指定显示过滤条件,如下(比如:指定显示过滤条件为http):
常用抓包工具分析_第5张图片
后面就可以对结果进行分析。

wireshark颜色区分?todo

更为详细的过滤条件语法,可以参考链接:
https://blog.csdn.net/chenj_freedom/article/details/17113875

tcpflow (linux)

安装方法

参考链接:
https://github.com/simsong/tcpflow
安装过程有各种依赖包需要安装,或者一些文件重定义的错误,如果解决不了,可以尝试删除目录,重新tar解压,再configure / make / make install。
常用抓包工具分析_第6张图片

httpwatch (windows)

浏览器自带抓包工具 (windows) ??todo

你可能感兴趣的:(开发工具)