linux抓包工具（wireshark与tcpdump）

目录

wireshark使用方法

安装wireshark

打开wireshark服务

抓取TCP三次握手，四次挥手

三次握手：

四次挥手：

Tcpdump工具

---

wireshark使用方法

安装wireshark

命令：yum install -y wireshark*

这里我在安装时出现了一个问题：

这里提示我yum正在被占用即yum被进程号为17830的服务占用了，这里我的处理方式是使用kill -9命令

Kill -9 17830

再次使用yum命令后发现正常

使用rpm命令查看安装了那些服务：

1. 打开wireshark服务

直接使用wireshark直接打开

1. wireshark的使用点击interface list

选择ens33网卡点击start

在另一台机器中ping此机器

Ping一次就是四个来回，每一个来回两次即reply和request

1. 使用ip.addr == [ip地址号]可以过滤掉无关ip

数据帧

包含以太网信息，ip协议类型

链路层

网络层

ARP信息

抓取TCP三次握手，四次挥手

三次握手：

四次挥手：

1. Tcpdump工具

Tcpdump是linux下的抓包工具，但是它是以命令形式的操作，并没有wireshark好用

Tcpdump常用语法：

Arp -d 192.168.239.1删除缓存

Tcpdump -I [网卡名] -nn host [主机ip]

-i ：指定网络接口，对于多个网络接口有用

-n ：显示IP地址，不查主机名。当DNS不起作用时常用到这个参数

-nn ：不显示协议和端口名。即显示IP地址和端口

开始抓包

这里表示linux让192.168.239.129告诉192.168.239.128本机的位置

每次询问mac地址时，都会放进arp缓存里

将抓的包保存在指定文件中

参数：-w

命令：tcpdump -I 【网卡名】-nn host 【主机ip】-w【文件名】

使用wireshark打开

使用以下命令即可查看所有送到主机hostname的数据吧

命令：tcpdump -I eth0 dst host 192.168.239.129（即主机名）