linux抓包操作,linux/windows常用抓包分析操作

windows：Wireshark抓包，打开wireshark，选择抓包的网卡，输入过滤条件，常用过滤条件：

1、过滤IP: ip.addr == 192.168.21.45

2、过滤端口：tcp.port == 5060 || udp.port == 5060

3、根据消息协议过滤，如：sip，sip.Call-ID == "MTI2Y2YyMD"， rtp, rtp.ssrc == 12345, http等

注：! && || 非且或3个符号linux/win通用，不喜欢写 not and or

本机抓包：本机发送到本机的数据包不会经过网卡，无法抓到包，需要设置路由

route add 本机ip mask 255.255.255.255 网关ip

如：route add 92.168.136.200 mask 255.255.255.255 192.168.128.1

使用完毕后用route delete 192.168.136.200 mask 255.255.255.255 192.168.128.1删除，否则所有本机报文都经过网卡出去走一圈回来很耗性能。

linux 抓包：需要安装tcpdump， 可以直接yum或apt-get install tcpdump 安装，不能连网的话下载rpm包安装，需要下载libpcap和tcpdump的rpm包，rpm -Uvh +rpm包安装即可，

libpcap rpm包官方下载地址：http://www.rpm