本文介绍了Wireshark和tcpdump的高级使用技巧,包括如何限制抓包大小、筛选特定IP包、标记操作步骤、编写抓包脚本、设置过滤条件以及利用Wireshark进行深入分析如协议过滤、IP端口过滤、内容过滤和统计分析等。这些方法有助于网络故障排查和性能优化。
1. 只抓包头 来减少最后抓取的包大小
老版本: limit each packet to 80或者200 bytes
新版本:Option >>> Interface>>>Snaplen(B) 把default改成80或者200.
Tcpdump:
用 tcpdump 进行抓包时,使用 -s 0 参数表示抓包的长度没有限制,否则默认抓取的长度为 68 或 96Byte。例如:$ tcpdump -i eth0 -s 0 -w 1.cap
或者 #tcpdump -I eth0 -s 80 -w /tmp/tcpdump.cap
2. 只抓必要的包
在对应网卡接口的Capture框里输入比如host 192.168.1.100,就可以只抓IP地址为192.168.1.100的包。
扩展阅读:https://wiki.wireshark.org/capturefilters
Tcpdump:
tcpdump -i eth0 host 192.168.1.100 -w /tmp/tcpdump.cap
3. 为抓包的每步操作打上标记,方便查看
1)ping 1.1.1.1 -n 1 -l 1
2) 操作步骤1
3)ping 1.1.1.1 -n 1 -l 2
4)操作步骤2
5) ping 1.1.1.1 -n 1 -l 3
最终根据抓包里显示的byte数,来确定是第几步。
3. 编写脚本定期或者触发抓包
4. 过滤
1)协议名称过滤
直接可在过滤方框里输入协议名称,比如windows域的身份验证有问题,可过滤协议Kerbeores。
可能协议有互相依赖关系,需要考虑多个协议,例如:http || ftp
2) IP 地址加端口号过滤
过滤方框里输入例如:tcp.80。
或者右键点击感兴趣的包,选择Follow TCP/UDP Stream,可以自动过滤。
3)鼠标右击感兴趣内容来过滤
鼠标右击后选择“Prepare a Filter >>> Selected”或者“Apply as Filer >>>Selected”,还可以选择and, or。
5. Wireshark自动分析
1)Analyze>>> Epert info Composite 看到重传统计,连接建立和重置统计。
2)Statistics>>>Service Response Time 只有几个协议可选。
3)Statistics>>> TCP Stream Graph 可以生成统计图,多少时间传输了多少数据。
4)Statistics>>> Capture File Properties可查看统计信息。
5)Ctrl + F可以像查找文本一样定位。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
