网络抓包介绍

最新推荐文章于 2025-12-08 14:28:29 发布
原创 最新推荐文章于 2025-12-08 14:28:29 发布 · 402 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络

抓包到底是什么

想象一下邮局:

  • 网络数据 = 邮件包裹
  • 网卡 = 邮局分拣中心
  • 抓包 = 在分拣中心拍照记录每个包裹的信息
你的电脑 ←→ 网卡(eth0) ←→ 网络
              ↑
           抓包工具在这里"偷听"

当你执行 tcpdump -i eth0 -w http.pcap 时:

  1. tcpdump 告诉网卡:“把经过你的所有数据都复制一份给我”
  2. 网卡说:“好的,我把数据包的完整副本都给你”
  3. tcpdump 把这些副本保存到文件里

包文件到底存在哪里

# 你刚才的命令
sudo tcpdump -i eth0 -c 100 -w http.pcap port 9090

# 文件就在当前目录!
[admin@host-11-61-243-97 ~]$ ls -la *.pcap
-rw-r--r-- 1 root root 12345 Dec 13 10:30 http.pcap

文件位置:就在你执行命令的目录下,文件名就是 http.pcap

实际演示:一步步看包里有什么

第1步:确认文件存在

ls -lh http.pcap
# 输出类似:-rw-r--r-- 1 root root 8.5K Dec 13 10:30 http.pcap

第2步:看包的"目录" - 每个包的基本信息

sudo tcpdump -r http.pcap -nn

输出会像这样:

10:30:15.123456 IP 192.168.1.100.45678 > 192.168.1.200.9090: Flags [S], seq 123456, win 65535
10:30:15.124567 IP 192.168.1.200.9090 > 192.168.1.100.45678: Flags [S.], seq 789012, ack 123457, win 65535
10:30:15.125678 IP 192.168.1.100.45678 > 192.168.1.200.9090: Flags [.], ack 789013, win 65535

这告诉你:

  • 10:30:15.123456 = 时间戳
  • 192.168.1.100.45678 > 192.168.1.200.9090 = 从哪里到哪里
  • Flags [S] = TCP握手开始

第3步:看包的"内容" - 实际传输的数据

sudo tcpdump -r http.pcap -nn -A

现在你会看到真正的数据:

10:30:15.126789 IP 192.168.1.100.45678 > 192.168.1.200.9090: Flags [P.], seq 1:100, ack 1, win 65535, length 99
E..c..@.@.............#.P...........
GET /api/status HTTP/1.1
Host: 192.168.1.200:9090
User-Agent: curl/7.68.0
Accept: */*

这里你看到了:

  • 真实的HTTP请求GET /api/status HTTP/1.1
  • 请求头Host: 192.168.1.200:9090

更直观的查看方式

方法1:一个包一个包地看

# 只看第1个包的详细内容
sudo tcpdump -r http.pcap -nn -A -c 1

# 看第2-5个包
sudo tcpdump -r http.pcap -nn -A | sed -n '2,5p'

方法2:搜索特定内容

# 找HTTP请求
sudo tcpdump -r http.pcap -A | grep -i "GET\|POST"

# 找HTTP响应
sudo tcpdump -r http.pcap -A | grep -i "HTTP/1"

# 找包含特定词的包
sudo tcpdump -r http.pcap -A | grep -i "error\|success"

方法3:用十六进制查看(看二进制数据)

sudo tcpdump -r http.pcap -nn -X

输出像这样:

0x0000:  4500 0054 1234 4000 4006 abcd c0a8 0164  E..T.4@.@......d
0x0010:  c0a8 01c8 b26e 238e 1234 5678 9abc def0  .....n#..4Vx....
0x0020:  8018 ffff 1234 0000 0101 080a 1234 5678  .....4.......4Vx
0x0030:  4745 5420 2f61 7069 2f73 7461 7475 7320  GET /api/status

右边的ASCII部分显示:GET /api/status

实际例子:分析你的9090端口包

# 1. 看有多少个包
echo "总包数: $(sudo tcpdump -r http.pcap | wc -l)"

# 2. 看都是哪些IP在通信
echo "通信的IP地址:"
sudo tcpdump -r http.pcap -nn | awk '{print $3 " -> " $5}' | sort | uniq -c

# 3. 看HTTP请求(如果有的话)
echo "HTTP请求:"
sudo tcpdump -r http.pcap -A | grep -i "GET\|POST\|PUT\|DELETE"

# 4. 看HTTP响应
echo "HTTP响应:"
sudo tcpdump -r http.pcap -A | grep -i "HTTP/1"

# 5. 看第一个包的完整内容
echo "第一个包的详细内容:"
sudo tcpdump -r http.pcap -nn -A -c 1

包文件的本质

http.pcap 文件就像一个"录像":

  • 记录了 网络上传输的每个数据包
  • 包含了 完整的网络通信内容
  • 可以重放 当时发生的网络活动
# 文件信息
file http.pcap
# 输出:http.pcap: tcpdump capture file (little-endian) - version 2.4 (Ethernet, capture length 262144)

简单总结

  1. 抓包 = 复制网络数据包到文件
  2. 包文件 = 当前目录下的 .pcap 文件
  3. 查看包 = 用 tcpdump -r 文件名 读取
  4. 看内容 = 加上 -A 参数看文本数据

最实用的命令

sudo tcpdump -r http.pcap -nn -A | less

然后用空格键翻页,q 退出,/关键词 搜索。

这样你就能看到网络上到底传输了什么数据!

一站式讲解Wireshark网络抓包分析的若干场景、过滤条件及分析方法
dvlinker的技术专栏
10-17 5万+
本文详细讲解常用的抓包工具、抓包分析的网络场景、分析抓包时的多种过滤条件以及如何结合常用的协议去分析排查问题,给大家提供一个借鉴或参考。
使用AndroidStudio网络抓包
lxm20819的专栏
05-14 1万+
抓包的方式有很多种,Filder需要添加手机代理,还有抓包神奇Charles,不过他需要一些繁琐的配置。今天主要说一下使用AndroidStudio进行网络抓包。 主要使用到的工具是Profile,首先说一下打开步骤: 设置完成以后,界面主要分成几个模块 在这里,我们主要使用的是NETWORK模块,可以看到网络请求发生时,会有网络曲线波动, 点击刚才的NETWORK模块...
网络抓包分析工具
热门推荐
WEN38306482的博客
06-28 32万+
随着网络技术的快速发展,网络数据的传输和处理变得日益复杂。网络抓包分析工具作为网络故障排查、性能优化以及安全审计的重要工具,对于提升网络管理的效率和准确性具有重要意义。本文旨在设计并实现一款高效、易用的网络抓包分析工具,以满足现代网络管理的需求。在工具设计方面,本文首先对网络抓包的基本原理和常用技术进行了深入研究,包括数据包捕获、数据展示等关键环节。基于这些原理和技术,本文提出了一种基于多线程和异步处理的数据包捕获机制,以提高抓包效率和响应速度。
wireshark网络抓包
你好呀
02-11 1856
到这里已经讲了两个抓包工具的使用了,大家应该对抓包不是很陌生了。而相对于和更加偏向于网络层面的抓包或者说是一个网络封包分析工具。使用对象更适合于网络相关人员(网络管理员/相关运维等等),目的用来截取网络通信,显示详细的封包资料。wireshark可以用来检测网络环境、入侵侦测系统等网络层面的用处,相对于开发人员,可以用来分析一些基础的网络层面的基础,如HTTP协议、UDP协议、TCP/IP协议、ARP协议等对我们比较友好的网络协议,当然如果你熟练操作网络可以没有任何限制。
抓包介绍及使用
qq_51915610的博客
09-07 6767
1.Fiddler是什么?Fiddler是强大的抓包工具,它的原理是以web代理服务器的形式进行工作的2.有什么功能?它能记录所有客户端和服务器的http和https请求允许你监视设置断点甚至修改输入、输出数据。
计算机网络——网络抓包实战
庄小焱
11-21 1万+
有很多小伙伴对于网络中的抓包没有很多的实战。同时对网络抓包工具也是不熟悉,本博文将介绍计算机网络中用于抓包的两个常用工具tcpdump和Wireshark,通过使用tcpdump/Wireshark工具来对TCP的三次握手和四次挥手进行抓包实战,给大家学习和使用tcpdump/Wireshark工具作一个参考。............
linux-网络管理-网络抓包
Flying_Fish_roe的博客
09-17 1757
网络抓包(Packet Capture)是指通过特定的工具从网络接口获取通过的原始数据包,并根据需要将数据包存储或实时分析。抓包可以帮助用户查看数据包的来源、目的地、数据内容、协议类型等详细信息。分析网络通信,查看协议和数据流。调查和排查网络问题,比如数据丢失、网络延迟或网络异常。检测网络攻击,如拒绝服务攻击、扫描和网络入侵。优化网络性能,找出网络通信中的瓶颈。在 Linux 中,网络抓包是进行网络分析和问题排查的核心技术之一。通过tcpdumpWireshark和Tshark。
7种抓包工具详细介绍
qq_43842093的博客
10-21 1万+
在 IMON项目里,使用抓包工具抓包进行分析的场景在EPG采集、引流模块和软终端监看模块,一般情况下EPG 采集和引流模块比较稳定,软终端监看还涉及SS5代理,这部分出问题的几率比较大,这是就有可能要现场维护人员抓包进行分析、排查、定位问题,确定是网络问题还是软件问题,如果是软件问题则要将抓回的包发给研发解决。②可以抓取所有协议的报文,并且抓取的报文可以完整的以 OSI 七层网络模型的格式显示,可以清晰的看到客户端和服务器之间每一个交互报文,以及每一个数据包的网络各层级的详细内容显示。
使用windows自带的网络命令工具抓包
技术控的笔记
09-20 4万+
在音视频领域,涉及到对接码流传输的各种问题,很多是通过抓包来定位,常用的抓包工具,windows下使用wireshark,linux下tcpdump,这两种是我使用最多的,最近定位一个现场问题,现场客户机电脑不能随便安装软件,且安装wireshark一般需要中断以下网络,对此客户是不允许的,在不得已的情况下,使用windows自带的网络分析命令抓取网络包,然后传输到自己的电脑上进行分析,这里记录下使用方式。
Linux网络抓包
跟派大星学编程
04-06 1733
文章目录1. tshark1.1 安装1.2 使用1.2.1 抓包参数说明1.2.2 输出参数说明1.3 示例2. tcpdump2.1 安装2.2 使用 1. tshark 1.1 安装 Centos yum install -y wireshark Ubuntu apt-get install -y tshark 1.2 使用 1.2.1 抓包参数说明 常用 -i和-f参数 -i设置...
网络安全山石防火墙Debug数据抓包方法:网络故障排查与报文分析步骤详解
08-07
内容概要:本文档主要介绍了山石防火墙抓包操作流程及其应用场景,用于排查网络业务不通或丢包等问题。首先依据五元组定位需要排查的报文,检查是否存在转发异常,再结合用户环境拓扑确认转发出接口状态,确保双向...
net.rar_抓包_网络抓包
09-20
描述中的“网络抓包”进一步确认了这个压缩包与网络抓包技术相关,可能提供了一些关于如何进行网络抓包的操作步骤、原理介绍或者实际案例分析。 标签“抓包”和“网络抓包”明确了主题,抓包网络诊断和故障排除的...
AwesomeProjects-Wireshark网络抓包分析实战项目
11-07
项目“AwesomeProjects-Wireshark网络抓包分析实战项目”深入探讨了Wireshark在网络分析中的应用,旨在通过实战演练,让参与者能够掌握Wireshark的高级功能和使用技巧。 在该项目中,参与者首先会学习Wireshark的...
计算机系统知识总结——安全性与可靠性与系统性评测*
omroji的博客
12-08 743
加密和解密采用不同的密钥(公开密钥(双发都知道)和私有密钥(私钥只有自己知道)),如果用公钥加密(接收方的公钥加密),则要用私钥(接收方的私钥解密)解密,使用私钥加密,则用公钥解密。数字证书(CA),用于身份认证,发送方用CA私钥加密,接收方用CA公钥解密(A公钥可以解密CA的签名,再通过CA的签名来验证真伪)计算机安全指的是计算机资产安全,是要保证这些计算机资产不受自然和人为的有害因素的威胁和危害。计算机系统的可靠性是指从它开始运行(t=0)到某时刻这段时间内能正常运行的概率,用 R(t)表示。
vue实现页面不断插入内容并且自动滚动功能
weixin_50606255的博客
12-04 326
我们在看视频时经常会看到黑客入侵别人电脑会在屏幕上显示一串代码,并且代码不断插入自动滚动,看起来很厉害的样子,现在就在此纪录实现此功能:
网络安全漏洞之React 框架分析
anquan2233的博客
12-04 1268
昨日爆出的 CVE-2025-55182,CVSS 10.0 满分严重漏洞,影响 React 19 及所有 Next.js 15/16 项目。核心问题是 React Server Components 的 Flight 协议存在不安全反序列化,无需任何认证,攻击者只需向 Server Actions 端点发送一个精心构造的 multipart 请求,即可实现远程代码执行(RCE)。目前已确认多个完整 0day 利用链(包括 vm.runInThisContext 在内),未修补实例基本等于已失陷。
网络安全(黑客技术)—2025自学手册
2401_84760527的博客
11-24 1719
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
Calico网络架构与实现深度解析(下)
最新发布
虽非技冠群英首,愿与同道共长歌; 大鹏一日同风起,扶摇直上九万里;
12-08 500
Calico网络架构与实现深度解析(下)
Minisniffer:高效网络抓包工具介绍
网络技术中,网络抓包工具(也被称为嗅探器)是一种不可或缺的网络分析工具,它能够捕获经过计算机网络接口卡的数据包,用于调试、监控或安全分析。标题中提及的“minisniffer”就是这样一个工具,它以其轻便和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值