tcpdump常用用法+wireshark分析cap包

最新推荐文章于 2025-05-31 21:17:09 发布
转载 最新推荐文章于 2025-05-31 21:17:09 发布 · 2.1k 阅读 · 1 ·
CC 4.0 BY-SA版权
原文链接:http://blog.51cto.com/13843846/2426042
文章标签:

#网络

本文介绍了tcpdump的常用命令,如指定网口、过滤IP与端口、限制抓包数量及保存数据包到文件。同时,探讨了Wireshark如何分析网络报文,包括不同颜色的含义以及报文详细信息的查看,帮助理解网络通信过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

工作中的常用用法
一、tcpdump常用用法:

1,-i 指定网口 -vnn 常用选项,显示详细信息并且不解析IP,端口 ;
抓取某个网口上发往或来自某个IP的报文
tcpdump -i ethX host 192.168.1.100 -vnn

2,可以用or 或者and 连接多个过滤条件,port前的tcp表示tcp协议,也可为udp;
抓取某个网口上发往或来自某个IP、并且指定端口的报文
tcpdump -i ethX host 192.168.1.100 and tcp port 22(端口号) -vnn

3, -c 指定抓取报文的数量, 用 -w 把抓取的数据包写入文件;
抓取某网口50个包并写入dump.cap(为什么是 .cap?因为wireshark识别此扩展名)文件:
tcpdump -i ethX -c 50 -w /root/dump.cap

4,可以用关键字 src 或者 dst 表示 源 或者 目的;
抓取源端口号为22(tcp协议)的报文
tcpdump -i ethX tcp src port 22(端口号) -vnn

以上为常用用法,可以根据实际情况灵活组合。

二、wireshark分析报文:

1,淡紫色数据包为正常数据包,包括数据包和ACK包

2,黑色为异常包,包括丢包ACK、重传等

    2.1 Packet Size limited during capture
   这个标志说明数据包并没被完全抓到,而只是抓到了一部分。这种情况多数是由于抓包方式引起,在某些系统中tcpdump只抓每个帧的前96个字节。我们可以”-s”参数来指定想要的字节数。

   2.2 TCP previous segment not captured
   TCP传输过程中同一台主机发出的数据应该是连续的,即
最低0.47元/天 解锁文章

200万优质内容无限畅学
bianxuan4538
关注
tcpdumpwireshark分析总结
陌上花开缓缓归以的博客
10-21 1176
1,抓 2,数据解析
学习存储协议的利器,聊聊tcpdumpWireshark
shuningzhang的专栏
05-26 275
其中选项-i表示要监测的网络接口,-w是将抓取的数据写入的文件,后面则表示监测的协议和端口号。这里的支持是指它能将我们抓取的二进制数据与具体的协议字段对应起来,直接给我们展示解析后的结果,非常直观。执行上述命令后,tcpdump就处于监听数据的状态,此时我们可以通过redis的命令行写入一些数据来验证tcpdump的过程。具体可以执行如下命令。实际上WireShark本身就是一个抓工具,如果安装的是桌面版的操作系统,我们可将其安装到待抓的虚拟机中,直接抓,就不需要借助tcpdump了。
使用wireshark分析tcpdump出来的pcap文件
热门推荐
zeze_Z的博客
02-27 2万+
个人认为tcpdump+wireshark是很精确的,之前在网上查阅移动端流量测试,大多讲tcpdump这部分很精细,但是没有讲到详细使用wireshark分析tcpdump到的.pcap文件,这里做一个详细的讲解,仅供大家参考。
cap数据文件解析
Why So Serious?
12-08 1万+
windows下的wireshark和Linux下的tcpdump所抓的为同样的CAP文件的格式,sniffer软件所抓的文件扩展名也是.cap,但格式却不太一样。本文主要说明ethereal和tcpdump产生的.cap文件的格式。     其实,要获得PCAP文件的格式,除了直接打开.cap文件分析外,可以看WinPcap或Linux下/usr/include下的pcap.h
Wireshark 使用教程:让抓不再神秘
2501_90357013的博客
05-31 879
tshark是 Wireshark 的命令行版本,支持几乎所有 Wireshark 的核心功能。它可以用来:抓并保存为 pcap 文件实时显示数据信息提取指定字段进行分析配合 shell 脚本完成自动化任务。
wireshark分析
weixin_33785108的博客
06-15 399
wireshark分析 wireshark是非常流行的网络分析软件,功能十分强大。可以抓取各种网络,并显示网络的详细信息。 开始界面 wireshark是捕获机器上的某一块网卡的网络,当你的机器上有多块网卡的时候,你需要选择一个网卡。 点击Caputre->Interfaces..出现下面对话框,选择正确的网卡。然后点击"St...
wiresharks抓分析(tcpdump并还原请求体)
mijichui2153的博客
06-15 1270
前言:先说下今天遇到的一个问题。和外部门同学对接消息记录拉取,采用的是pb协议,接口机的L5暴露给对方用以拉取。对方请求后表示IO超时没有收到对应回,于是对方质疑我方有问题。现需要排查原因,更准确说如何找证据打脸对方。 分析:我方业务是相对成熟的,这种问题大概率是对方发过来的请求不对,例如缺少某些字段导致接口机无法将请求转发给后方业务机。注:经过沟通发现对方不能打印请求体(具体原因也不管了)。思路无非如下(其中第二点是此次研究的重点): ①首先tcpdump看看我方究竟有没有收到对方的请求; .
Wireshark分析数据*.cap
fen_fen的专栏
07-07 1933
Wireshark分析数据*.cap
tcpdumpwireshark分析
u013669912的博客
08-11 1371
借助WireShark解析PCAP
阿霖
12-16 1万+
本文主要分为以下几点: 1.什么是pcap? 2.pcap内容如何查看? 3.在java程序中借助WireShark进行解析,在后台查看 目录 [toc]1.什么是pcap 什么是pcap PCAP是一个数据抓取库, 很多软件都是用它来作为数据抓取工具的。 WireShark也是用PCAP库来抓取数据的。PCAP抓取出来的数据并不是原始的网络字节流,而是对其进行
wireshark
yiwenrong的博客
12-30 1476
wireshark新手使用教程 Wireshark是非常流行的网络分析软件,可以截取各种网络数据,并显示数据详细信息。常用于开发测试过程各种问题定位。本文主要内容括: 1、Wireshark软件下载和安装以及Wireshark主界面介绍。 2、WireShark简单抓示例。通过该例子学会怎么抓以及如何简单查看分析数据内容。 3、Wireshark过滤器使用。通过过滤器可以筛选出...
解析cap文件
09-03
解析cap
wireshark + RawCap 全能抓工具
04-12
全能抓工具 支持 Loopback Address 127.0.0.1 本地测试抓
wireshark读写pcap文件_使用wireshark分析tcpdump出来的pcap文件
weixin_39717110的博客
12-20 1261
工作中的常用用法一、tcpdump常用用法:1,-i 指定网口 -vnn 常用选项,显示详细信息并且不解析IP,端口 ;抓取某个网口上发往或来自某个IP的报文tcpdump -i ethX host 192.168.1.100 -vnn2,可以用or 或者and 连接多个过滤条件,port前的tcp表示tcp协议,也可为udp;抓取某个网口上发往或来自某个IP、并且指定端口的报文tcpdump -...
Wireshark-----抓分析
HakuMaster的博客
07-13 2万+
它的创始人是Gerald Combs,前身是Ethereal,作为开源项目经过众多开发者的完善它已经成为使用量最大的安全工具之一。ICMP (Internet Control Message Protocol,网际报文控制协议)是Internet 协议族的核心协议之一,它主要用在网络计算机的操作系统中发送出错信息。在这层上工作的不止一个协议,但是最普遍的就是互联网协议(IP)。点击 捕获-->选项,取消勾选“在所有接口上使用混杂模式”,选择自己需要的网卡,例如WLAN,点击确定即可;
Wireshark数据分析
CHENG3169524200的博客
03-21 382
Wireshark的抓分析,看这篇就够了!
xnxqwzy的博客
03-04 3120
Wireshark的抓分析WireShark是一个网络分析软件。网络分析软件的功能是撷取网络,并尽可能显示出最为详细的网络资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。在网络和流量分析领域有着十分强大功能的工具,深受各类和网络分析师的喜爱。我们首先来介绍一下Wireshark这款软件。首先我们先认识一下这个软件的主界面是长这样的在这个界面中为Wireshark的主界面。
wirshark抓产生的pcap文件分析
Solstice_的博客
11-17 1827
pcap文件常用的数据报存储格式,可以理解为就是一种文件格式,只不过里面的数据是按照特定格式存储的,所以我们想要解析里面的数据,也必须按照一定的格式。
wireshark过程及其分析
qq_42595610的博客
08-01 2401
下图所示为wireshar软件抓之后的界面,我们通过上方框(过滤器)输入协议、数据内容或者端口号等等筛选出我们想要分析的数据来。在MobaXterm上进行抓的时候,将抓后的数据保存在一个文件中,通常下面的语句就够用。软件是一款可以用于抓的软件,支持直接是网卡抓,也可以导入抓时保存的文件。也是一个常用网络工具,用于监听和分析网络流量。将抓的信息保存在capture.pcap这个文件中。网卡名称的查询方法,在Windows系统上可用。,如果是在Linux系统上可用。其中常用的抓命令为。
tcdump wireshark分析
最新发布
07-09
<think>我们正在处理用户关于使用Wireshark分析tcpdump数据的问题。根据引用内容,我们知道tcpdump后通常保存为文件(如.cap或.pcap),然后在Wireshark中打开分析。 步骤: 1. 使用tcpdump并保存为文件(如dump.cap或socket_test.pcap)。命令示例:`tcpdump -i eth0 -c 50 -w dump.cap`(抓取eth0网卡的50个,保存为dump.cap)。 2. 将保存的文件传输到安装有Wireshark的Windows系统(如果抓是在Linux上进行的)。 3. 在Wireshark中打开该文件进行分析。 现在,我们需要详细说明Wireshark如何分析这些文件Wireshark分析步骤: - 打开Wireshark,选择“File” -> “Open”,然后选择tcpdump保存的文件。 - 打开后,Wireshark会显示捕获的数据列表,每个数据含时间、源地址、目的地址、协议等信息。 - 用户可以点击任意数据查看详细解析(各层协议头和数据)。 - 使用过滤功能(在过滤栏输入过滤条件)可以快速定位感兴趣的数据(如按IP、端口、协议等过滤)。 - 还可以使用统计功能(如“Statistics”菜单)进行流量分析、端点统计等。 注意:tcpdump保存的文件格式通常是pcap格式,Wireshark可以直接读取。 根据引用[2]和[3],我们注意到保存的文件扩展名可以是.cap或.pcapWireshark都能识别。 因此,回答应该括: 1. 抓步骤(参考引用中的tcpdump命令)。 2. 文件传输(如果需要)。 3. Wireshark打开文件分析的基本操作。 同时,按照要求生成相关问题。 回答结构: 1. 简要说明过程。 2. 详细步骤。 3. 示例(可选)。 4. 相关问题。</think>### Wireshark分析tcpdump数据的步骤 1. **抓取数据并保存文件** 在Linux终端使用tcpdump,通过`-w`参数保存为.pcap/.cap格式文件Wireshark可识别该格式): ```bash tcpdump -i eth0 -c 100 -w /path/to/dump.pcap # 抓取eth0网卡的100个 ``` - `-i`:指定网卡(如`eth0`、`lo`回环接口) - `-c`:限制抓数量 - `-w`:输出文件名(推荐.pcap扩展名)[^2][^3] 2. **传输文件Wireshark环境** 若抓在远程服务器执行,需将文件传输到本地: ```bash scp user@server:/path/to/dump.pcap ~/Desktop/ # 通过SCP传输 ``` 3. **Wireshark分析操作** - **打开文件**:启动Wireshark → `File` → `Open` → 选择.pcap文件 - **核心功能区域**: - **数据列表**(顶部):显示时间戳、源/目的IP、协议等摘要 - **协议解析树**(中部):分层展示帧头、IP头、TCP/UDP头、应用层数据 - **原始字节流**(底部):十六进制与ASCII格式原始数据 - **关键操作**: - **过滤**:在过滤栏输入表达式(如`tcp.port==80`过滤HTTP流量) - **追踪流**:右键数据 → `Follow` → `TCP Stream`查看完整会话 - **统计分析**:`Statistics`菜单下的`Protocol Hierarchy`(协议分布)、`Endpoints`(端点通信统计) 4. **典型分析场景示例** - **定位网络延迟**: 1. 过滤目标IP:`ip.addr == 192.168.1.100` 2. 检查TCP握手时序:SYN/SYN-ACK的Time Delta - **诊断HTTP错误**: 1. 过滤HTTP状态码:`http.response.code >= 400` 2. 右键异常响应 → `Follow HTTP Stream`查看完整请求 > ⚠️ **注意事项** > - 抓时建议用`-s`参数指定快照长度(如`-s 1500`捕获完整MTU)避免截断 > - 复杂分析可结合显示过滤器语法:`(tcp.flags.syn==1) && !(ip.dst==127.0.0.1)` --- ### 相关问题 1. 如何用tcpdump只抓取特定协议的数据(如HTTP/ICMP)? 2. Wireshark中如何通过IO图形化工具分析网络延迟问题? 3. tcpdump保存的.pcap文件Wireshark的.pcapng格式有何区别? [^1]: [转载]聊聊tcpdumpWireshark分析 [^2]: tcpdump常用用法+wireshark分析cap [^3]: tcpdump简单抓分析
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值