linux抓包操作,linux/windows常用抓包分析操作

windows:Wireshark抓包,打开wireshark,选择抓包的网卡,输入过滤条件,常用过滤条件:

1、过滤IP: ip.addr == 192.168.21.45

2、过滤端口:tcp.port == 5060 || udp.port == 5060

3、根据消息协议过滤,如:sip,sip.Call-ID == "MTI2Y2YyMD", rtp, rtp.ssrc == 12345, http等

注:! && || 非且或3个符号linux/win通用,不喜欢写 not and or

本机抓包:本机发送到本机的数据包不会经过网卡,无法抓到包,需要设置路由

route add 本机ip mask 255.255.255.255 网关ip

如:route add 92.168.136.200 mask 255.255.255.255 192.168.128.1

使用完毕后用route delete 192.168.136.200 mask 255.255.255.255 192.168.128.1删除,否则所有本机报文都经过网卡出去走一圈回来很耗性能。

linux 抓包:需要安装tcpdump, 可以直接yum或apt-get install tcpdump 安装,不能连网的话下载rpm包安装,需要下载libpcap和tcpdump的rpm包,rpm -Uvh +rpm包安装即可,

libpcap rpm包官方下载地址:http://www.rpm

你可能感兴趣的:(linux抓包操作)