本文介绍了如何安装和使用Wireshark进行网络封包分析,包括解决yum被占用的问题、开启Wireshark服务、抓取TCP三次握手和四次挥手的过程。同时,也探讨了Tcpdump命令行工具的使用,如 ARP缓存清理、指定条件抓包及保存抓包文件。通过实例展示了这两个工具在监控网络通信中的应用。
目录
wireshark使用方法
安装wireshark
命令:yum install -y wireshark*
这里我在安装时出现了一个问题:
这里提示我yum正在被占用即yum被进程号为17830的服务占用了,这里我的处理方式是使用kill -9命令
Kill -9 17830
再次使用yum命令后发现正常
使用rpm命令查看安装了那些服务:
-
打开wireshark服务
直接使用wireshark直接打开
- wireshark的使用点击interface list
选择ens33网卡点击start
在另一台机器中ping此机器
Ping一次就是四个来回,每一个来回两次即reply和request
- 使用ip.addr == [ip地址号]可以过滤掉无关ip
数据帧
包含以太网信息,ip协议类型
链路层
网络层
ARP信息
抓取TCP三次握手,四次挥手
三次握手:
四次挥手:
-
Tcpdump工具
Tcpdump是linux下的抓包工具,但是它是以命令形式的操作,并没有wireshark好用
Tcpdump常用语法:
Arp -d 192.168.239.1删除缓存
Tcpdump -I [网卡名] -nn host [主机ip]
-i :指定网络接口,对于多个网络接口有用
-n :显示IP地址,不查主机名。当DNS不起作用时常用到这个参数
-nn :不显示协议和端口名。即显示IP地址和端口
开始抓包
这里表示linux让192.168.239.129告诉192.168.239.128本机的位置
每次询问mac地址时,都会放进arp缓存里
将抓的包保存在指定文件中
参数:-w
命令:tcpdump -I 【网卡名】-nn host 【主机ip】-w【文件名】
使用wireshark打开
使用以下命令即可查看所有送到主机hostname的数据吧
命令:tcpdump -I eth0 dst host 192.168.239.129(即主机名)
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
