Tcpdump 和 Wireshark 的结合使用(二)

最新推荐文章于 2025-01-15 06:00:00 发布
原创 最新推荐文章于 2025-01-15 06:00:00 发布 · 置顶 · 1.1k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#wireshark #tcp #tcpdump

本文介绍了如何使用Wireshark分析由Tcpdump抓取的网络包,重点讲解TCP三次握手的过程。通过示例展示从Linux系统使用tcpdump命令抓包,到Wireshark软件中查看并解释三次握手的每个阶段,包括客户端的SYN请求,服务器的SYN+ACK响应,以及客户端的ACK确认。

在上一篇博文中我们分别介绍了Tcpdump 和 Wireshark 的简单使用,这一节我们将介绍使用Wireshark 来分析 Tcpdump 抓住的网络包,主要分析TCP三次握手的过程。


1.首先我们在Linux系统运行 下面的命令抓包,并保存在 a.cap 文件中,      

  #tcpdump -i any -w  a.cap       

  然后运行一个简单的 socket 案例代码,于是我们在当前目录下就生成了 a.cap 文件。

2.用 wireshark 软件打开 a.cap 文件,如图


最低0.47元/天 解锁文章
学习存储协议的利器,聊聊tcpdumpWireshark
shuningzhang的专栏
05-26 337
其中选项-i表示要监测的网络接口,-w是将抓取的数据写入的文件,后面则表示监测的协议端口号。这里的支持是指它能将我们抓取的进制数据与具体的协议字段对应起来,直接给我们展示解析后的结果,非常直观。执行上述命令后,tcpdump就处于监听数据的状态,此时我们可以通过redis的命令行写入一些数据来验证tcpdump抓包的过程。具体可以执行如下命令。实际上WireShark本身就是一个抓包工具,如果安装的是桌面版的操作系统,我们可将其安装到待抓包的虚拟机中,直接抓包,就不需要借助tcpdump了。
tcpdump的命令
06-02 260
python ramparse.py -v ./Port_COM3/vmlinux -a ./Port_COM3 -o ./rdp3 --force-hardware trinket -x --logcat
Linux 抓包分析:Tcpdump + Wireshark 的完美组合
yinxiaohui0212的博客
07-06 750
Tcpdump + Wireshark Wireshark是Windows下非常简单易用的抓包工具。但在Linux下很难找到一个好用的图形化抓包工具。 还好有Tcpdump。我们可以用Tcpdump + Wireshark 的完美组合实现:在 Linux 里抓包,然后在Windows 里分析包。 // tcpdump tcpdump tcp -i eth1 -t -s 0 -c 100 and dst port ! 22 and src net 192.168.1.0/24 -w ./target.cap
tcpdump+wireshark双剑合璧
zpsimon的博客
01-13 2653
前言 运维经常需要通过网络层抓包来诊断排查问题,可以说是运维必备技能之一。熟练使用wireshark来trouble shooting需要对各种网络协议都要有比较深的认识。本文对日常用到的一些技能技巧进行总结,方便各位看官入门,然后深入。 命令介绍 1.tcpdump 就是:dump the traffic on a network。根据命令选项对网络上的数据包进行截获、分析的工具。支持通过网络、协议、主机、端口的过滤,并提供and、or、not等逻辑操作。日常中更多的是通过该命令进行抓包,然后使用本文提到
使用tcpdump Wireshark进行简单TCP抓包分析【图文教程】
qq_42037383的博客
07-19 3316
都是网络分析工具,用于捕获分析网络数据包,但它们在功能使用上有所不同。所以,这两者实际上是搭配使用的,先用 tcpdump 命令在 Linux 服务器上抓包,接着把抓包的文件拖出到 Windows 电脑后,用 Wireshark 可视化分析。如果你是在 Windows 上抓包,只需要用 Wireshark 工具就可以。
Tcpdump抓包与Wireshark 报文分析
sanguine_boy的博客
12-08 3065
linux服务器端口数据报文分析
tcpdump+wireshark使用
程序员
04-15 1264
tcpdump在开发过程中经常需要抓包,下面介绍tcpdumpwireshark配合使用的方法。 tcpdump -i lo port 9000 -w fcgi.dump 上面的-i lo表示抓的本机的数据包。tcpdump默认抓取的是经过网卡的往来包。由于与PHP-FPM通信是本机的9000端口,因此需要使用-i lo参数来抓取。 port 9000表示抓取发送或来自9000端口的数据包。
如何使用 tcpdump Wireshark 分析网络流量?
zhanglu0302的博客
08-04 1440
本文是通过学习倪朋飞老师的《Linux性能优化实战》 :怎么使用 tcpdump Wireshark 分析网络流 量? 如何使用 tcpdump Wireshark 分析网络流量?
使用tcpdump Wireshark进行简单TCP抓包分析
chinansa的博客
01-15 1231
可以先用tcpdump在服务器等无图形界面环境下捕获数据包,将捕获的数据包保存为文件(使用`-w`选项,如`tcpdump -i eth0 -w capture.pcap`),然后将这个文件传输到有Wireshark的计算机上进行详细分析。要过滤特定主机之间的TCP数据包,例如主机`192.168.1.10``192.168.1.20`之间的数据包,可以输入`ip.addr == 192.168.1.10 and ip.addr == 192.168.1.20 and tcp`。
【网管博客 | 01】抓取分析网络数据包?力推默契老搭档——tcpdump&wireshark
木子Linux的博客世界
05-22 1721
tcpdump是一个在linux环境下常用的抓包工具,Wireshark是一个网络封包分析软件,结合,其利断金
tcpdump 命令使用
aaqq123456654321的博客
09-03 922
tcpdump 命令使用 tcpdump -i any (-s 0 不限制展示包大小,可省略)-n -tttt (-A 以文本形式输出内容,可省略) tcp port 3001
tcpdump截取MySQL报文
ctsu9014的博客
12-15 230
(一)tcpdump用法 1、tcpdump采用命令行方式,它的命令格式为: tcpdump [ -adeflnNOpqStvx ] [ -c 数量 ] [ -F 文件名 ] [ -i 网络接口 ] [ -r 文件名] [...
04TCPDUMP使用
Wittengenstein的博客
10-05 319
TCPDUMP介绍 基于命令行的抓包命令 Linux上Unix默认安装 TCPDUMP抓包命令 抓包 tcpdump -i eth0 -s 0 -w a.cap -i:选择抓包的接口 -s:抓取包的大小(0代表全部抓取) -w:将抓到的包信息存入后面的指定文件 读取抓包文件 tcpdump -r a.cap -r:后面接需要读取的文件,读取包信息 TCPDUMP...
wireshark抓包看post请求的body是什么样子
peony的博客
02-05 1万+
今天在发送请求时遇到了formdata的格式问题,就突然想到,我每天发送的post请求,他的body是什么样子的,所以用wireshark抓包看了一下,记录下来 本文章主要针对两种格式的post请求,JSONformdata。两个测试的样例代码就不提供了,很简单。 JSON格式的post 向后台发送了一个简单的JSON { "name": "zhangsan", "age": "12" } 下面看wireshark: 上面是wireshark帮我们翻译过的,便于我们看,下面是真实在网.
网络抓包分析--tcpdumpWireshark使用
事后不诸葛的博客
01-08 5245
目录 前言 tcpdumpWireshark的介绍 tcpdump使用 Wireshark使用 前言 tcpdumpWireshark的介绍 tcpdump使用 Wireshark使用
TCPDUMP(命令行操作)-抓包、筛选、高级筛选、过程文档记录
热门推荐
含笑
05-15 9万+
TCPDUMP No-GUI的抓包分析工具 Linux、Unix系统默认安装TCPdump—–抓包 抓包 默认只抓68个字节 tcpdump -i eth0 -s 0 -w file.pcap tcpdump -i eth0 port 22 读取抓包文件 Tcpdump -r file.pcap选项介绍-A 以ASCII格式打印出所有分组,并将链路层的头最小化
tcpdump抓包并保存成cap文件
夫君子之行,静以修身,俭以养德,非淡泊无以明志,非宁静无以致远.
11-19 1159
首选介绍一下tcpdump的常用参数 tcpdump采用命令行方式,它的命令格式为:    tcpdump [ -adeflnNOpqStvx ] [ -c 数量 ] [ -F 文件名 ]            [ -i 网络接口 ] [ -r 文件名] [ -s snaplen ]            [ -T 类型 ] [ -w 文件名 ] [表达式 ] tcpdump的选项介绍   ...
Linux tcpdump命令详解
$firecat利白的代码足迹$
11-01 3853
Linuxtcpdump命令详解 tcpdump使用详解及数据包分析 简介 用简单的话来定义tcpdump,就是:dump the traffic on a network,根据使用者的定义对网络上的数据包进行截获的包分析工具。 tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉...
全网最全tcpdumpWireshark抓包实践
青梅煮酒
06-08 3973
1、介绍wireshark的基本使用,涉及过滤器,抓包方式等 2、介绍tcpdump的基本使用以及参数说明
tcpdumpWireshark 组合使用的高级技巧有哪些?
最新发布
11-05
<think>我们正在讨论tcpdumpWireshark组合使用的高级技巧。结合之前提供的引用内容,我们可以总结以下高级技巧: 1. 使用tcpdump进行远程捕获,然后在本地用Wireshark分析(引用[1]提到tcpdump在无法使用Wireshark图形界面时的作用) 2. 使用tcpdump的详细过滤条件捕获特定流量并保存为pcap文件,然后用Wireshark进行深度分析(引用[3]引用[4]) 3. 结合网络诊断流程,使用tcpdump进行初步捕获过滤,然后用Wireshark解析协议细节(引用[5]) 高级技巧包括: - 复杂过滤条件的构建 - 长时间捕获与自动分割文件 - 性能优化(避免丢包) - 结合其他工具(如tshark)进行命令行分析 - 使用Wireshark的统计图表功能分析tcpdump捕获的数据 我将按照以下结构组织回答: 1. 高效捕获技巧:介绍tcpdump的高级过滤文件管理 2. 捕获性能优化:如何避免丢包分割大文件 3. 结合Wireshark分析:使用Wireshark的高级功能分析捕获文件 4. 命令行与图形界面协同:使用tshark进行中间分析 5. 实战案例:展示一个组合使用的完整流程 注意:引用标记要自然放在引用内容的末尾。 </think>### 🤖 tcpdumpWireshark组合使用的高级技巧 #### 🔧 1. **远程捕获与实时分析** - **技巧原理**:在无法安装Wireshark的服务器上使用tcpdump捕获流量,通过管道实时传输到本地Wireshark分析 - **操作流程**: ```bash # 在远程服务器执行 ssh user@server "sudo tcpdump -i eth0 -U -s0 -w - 'port 443 or port 80'" | wireshark -k -i - ``` - `-U`:启用实时缓冲 - `-s0`:捕获完整数据包(默认只抓前96字节) - `-w -`:输出到标准输出[^3][^4] #### 📂 2. **智能文件分割与时间标记** - **应用场景**:长时间监控时避免生成超大文件 - **组合命令**: ```bash sudo tcpdump -i en0 -G 3600 -w "capture_%Y-%m-%d_%H.pcap" -z gzip 'tcp' ``` - `-G 3600`:每小时生成新文件 - `-z gzip`:自动压缩旧文件 -Wireshark使用`Statistics > Capture File Properties`分析时间分布[^4] #### 3. **精准流量过滤与协议解码** - **高级过滤技巧**: ```bash sudo tcpdump -i any -v 'tcp[13] & 4 != 0' -w rst_packets.pcap # 抓取所有RST包 ``` - **Wireshark分析**: - 使用`tcp.flags.reset == 1`过滤重置包 - 右键`Follow > TCP Stream`重建会话流[^3] - 对TLS流量使用`Statistics > Protocol Hierarchy`识别加密协议版本 #### 📊 4. **性能瓶颈诊断** - **TCP窗口分析流程**: 1. 捕获:`tcpdump -i eth0 -s0 -w tcp_window.pcap 'tcp and port 8080'` 2. Wireshark分析: - `Statistics > TCP Stream Graphs > Window Scaling` - 检查`Zero Window`告警`Window Full`标志位[^5] 3. 结合`IO Graphs`绘制吞吐量波动曲线 #### 🔐 5. **HTTPS流量解密联动** - **前提**:获取服务器RSA私钥 - **操作步骤**: 1. 捕获:`tcpdump -i lo0 -w https.pcap 'port 443'` 2.Wireshark中: - `Edit > Preferences > Protocols > TLS` - 添加私钥文件路径 - 设置`(Pre)-Master-Secret`日志路径 3. 使用`http`过滤器直接查看解密后的HTTP流量 #### ️ 6. **自动化分析流水线** ```mermaid graph LR A[tcpdump捕获] --> B[tshark预处理] B --> C[Wireshark可视化] C --> D[自定义Lua脚本分析] ``` - **示例流水线**: ```bash tcpdump -i en0 -w - | tshark -r - -Y 'dns' -T json | jq '.[]._source.layers' ``` - `tshark`实现命令行过滤格式转换 - `jq`处理JSON输出[^2] #### ️ 7. **高级排错技巧** - **TCP重传分析**: ```bash tcpdump -v 'tcp[tcpflags] & (tcp-ret) != 0' ``` - Wireshark使用`tcp.analysis.retransmission`过滤器 - 查看`Expert Info`面板定位重传原因[^1][^5] - **UDP风暴检测**: ```bash tcpdump -lni eth0 'udp and greater 1024' | awk '{print $3}' | sort | uniq -c | sort -n ``` #### 💡 最佳实践 1. **捕获优化**:优先使用`-s0`捕获完整报文 2. **过滤顺序**:在捕获阶段过滤(tcpdump)比分析阶段过滤(Wireshark)更高效 3. **元数据分析**:保存文件时保留时间戳精度 `-j any` 4. **资源管理**:对大型pcap文件使用`editcap`分割后再分析 > 通过组合工具,tcpdump发挥其**低开销捕获精确过滤**优势,Wireshark提供**深度协议解析可视化能力**,两者协同可解决90%的网络疑难问题[^1][^2]。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值