十八、网络分析方法

注：以下图片来自慕课网，侵权可删

常用工具

• Linux 服务端用 tcpdump （高级）
• 其他端 WireShark

tcpdump

tcpdump -i eth0 src port 80 -xx -Xs 0 -w test.cap

• -i：指定网卡
• src：指定包的来源
• port：指明端口号
• -xx：抓到的包以16进制显示
• -Xs：指以ASCII码显示
• -s 0：指明抓整个包
• -w：写到文件中
  采集 eth0网卡的数据 对源端口号是80的过滤出来，并以十六进制加上ASCII显示，抓取完整的包，写到test.cap上

WireShark

WireShark中的逻辑运算

• 与：and 或 &&
• 或：or 或 ||
• 非：not 或 !

WireShark中的判断语句

• 等于：eq 或 ==
• 小于：lt 或 <
• 大于：gt 或 >
• 小于等于：le 或 <=
• 大于等于：ge 或 >=
• 不等于：ne 或 !=

WireShark按协议过滤

• STUN
• TCP
• UDP

WireShark按IP过滤

• ip.dst == 192.168.1.2
  过滤目的IP，发送到192.168.1.2的

• ip.src == 192.168.1.2
  过滤源IP，发送端是192.168.1.2的

• ip.addr == 192.168.1.2
  指定IP，只要有192.168.1.2这个IP的

WireShark按Port过滤

• tcp.port == 8080
• udp.port == 3478
• udp.dsport == 3478
• udp.srcport == 3478

WireShark按长度过滤

• tcp.length < 30
• tcp.length < 30
• http.content_length < 30

添加TURN服务