tcpdump抓包+wireshark分析配合使用

  Tcpdump工具是Unix和Linux系统抓网络数据库包最有效的工具，windows上类似的工具是wireshark。 tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤，并提供and、or、not等逻辑语句来帮助你去掉无用的信息。另外tcpdump可以导入的文件中，可以进一步使用wireshark和Java代码进一步统计过滤分析。该命令需要root权限，命令会自动把网卡设置为混杂（promiscuous）状态.

一、tcpdump使用

 

1、抓取回环网口的包：

# tcpdump -i lo

2、防止包截断：

# tcpdump -s0

例如：抓wlan0的包

# tcpdump -i wlan0 -vv -s0 -w ss.pcap

3、以数字显示主机及端口：

# tcpdump -n

4、抓取所有经过wlan0网卡的数据包，并且目标的ip地址是10.100.13.95

# tcpdump -i wlan0 -vv -s0 ether dst host f4:0f:24:2f:4d:85 and dst net 10.100.13.95 -w ssid.pcap

 

一、tcpdump命令是一款sniffer工具，它可以打印所有经过网络接口的数据包的头信息，也可以使用-w选项将数据包保存到文件中，方便以后分析。 

 语法

 tcpdump(选项)选项

-a：尝试将网络和广播地址转换成名称；

-c<数据包数目>：收到指定的数据包数目后，就停止进行倾倒操作；

-d：把编译过的数据包编码转换成可阅读的格式，并倾倒到标准输出；

-dd：把编译过的数据包编码转换成C语言的格式，并倾倒到标准输出；

-ddd：把编译过的数据包编码转换成十进制数字的格式，并倾倒到标准输出；

-e：在每列倾倒资料上显示连接层级的文件头；

-f：用数字显示网际网络地址；

-F<表达文件>：指定内含表达方式的文件；

-i<网络界面>：使用指定的网络截面送出数据包；

-l：使用标准输出列的缓冲区；

-n：不把主机的网络地址转换成名字；

-N：不列出域名；

-O：不将数据包编码最佳化；

-p：不让网络界面进入混杂模式；

-q ：快速输出，仅列出少数的传输协议信息；

-r<数据包文件>：从指定的文件读取数据包数据；

-s<数据包大小>：设置每个数据包的大小；

-S：用绝对而非相对数值列出TCP关联数；

-t：在每列倾倒资料上不显示时间戳记；

-tt： 在每列倾倒资料上显示未经格式化的时间戳记；

-T<数据包类型>：强制将表达方式所指定的数据包转译成设置的数据包类型；

-v：详细显示指令执行过程；

-vv：更详细显示指令执行过程；

-x：用十六进制字码列出数据包资料；

-w<数据包文件>：把数据包数据写入指定的文件。

 

二、实例

1、直接启动tcpdump将监视第一个网络接口上所有流过的数据包  

# tcpdump

2、监视指定网络接口的数据包

# tcpdump -i eth1

注：如果不指定网卡，默认tcpdump只会监视第一个网络接口，一般是eth0，下面的例子都没有指定网络接口。

3、截获所有210.27.48.1的主机收到的和发出的所有的数据包

# tcpdump host 210.27.48.1 

4、截获主机210.27.48.1和主机210.27.48.2或210.27.48.3的通信

# tcpdump host 210.27.48.1 and  210.27.48.2 or 210.27.48.3 

5、如果想要获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包，使用命令：

# tcpdump ip host 210.27.48.1 and ! 210.27.48.2

6、截获从192.168.1.5发送出的源数据包

# tcpdump -i eth0 src host 192.168.1.5

7、截获发向192.168.1.6的目的数据包

# tcpdump -i eth0 dst host 192.168.1.6

8、监视指定主机和端口的数据包如果想要获取主机210.27.48.1接收或发出的telnet包，使用如下命令

# tcpdump tcp port 23 host 210.27.48.1

9、对本机的udp 123端口进行监视123为ntp的服务端口

# tcpdump udp port 123

10、打印所有源地址或目标地址是本地主机的IP数据包

# tcpdump ip and not net localnet 

注意:如果本地网络通过网关连到了另一网络，则另一网络并不能算作本地网络。

二、Mac上安装和使用wireshark
   1.下载wireshark：https://www.wireshark.org/download.html
   2.启动wireshark
     # wireshark

   3.将tcpdump抓到的包pull出来

      # tcpdump -i wlan0 -vv -s0 -w wifi.pcap

   4.用wireshake打开wifi.pcap进行分析