Centos6.5下使用tcpdump抓包并用wireshark分析

最新推荐文章于 2025-05-28 15:08:50 发布
最新推荐文章于 2025-05-28 15:08:50 发布
阅读量692 收藏 3
点赞数
分类专栏: Centos8.5 Debian12 Rocky9.2 麒麟
本文介绍了在Centos6.5上如何使用tcpdump进行抓包,并通过wireshark进行包分析。首先,详细讲述了安装tcpdump和libpcap的过程,接着讲解了tcpdump的过滤规则和基本使用方法,包括如何抓取特定接口和端口的数据包。然后,提到了wireshark的安装及解决启动时遇到的问题,最后讨论了如何将抓包数据保存到文件并在wireshark中打开进行分析。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

前言

在Centos6.5下通过使用tcpdump抓包和wireshark分析包,初步了解抓包和解包

安装

首先我们要安装tcpdump,必须的库:

yum install flex  
yum install bison  
yum install gcc
  •  

另外tcpdump是基于libpcap,这个在yum找不到,我们到tcpdump的官网(http://www.tcpdump.org/#latest-release)可以下载libpcap和tcpdump 
我这里使用的tcpdump-4.7.3 .tar.gz和libpcap-1.7.2 .tar.gz 。 
首先解压libpcap,然后进入目录配置安装

./configure
make              
make install

然后解压tcpdump,然后进入目录配置安装

./configure
make              
make install

一切顺利的话,就可以使用tcpdump进行抓包了。

抓包

tcpdump的过滤规则是使用bpf语法 
(参考http://blog.youkuaiyun.com/jk110333/article/details/8675547) 
我们简单地抓取可以使用(注意要使用root权限启动tcpdump)

tcpdump -i eth0 port 80 -c 3 -t
  •  

(1) -i eth0 : 只抓经过接口eth0的包 
(1) port 80 : 抓取数据包只抓取80端口的 
(3) -c 3 : 只抓取3个数据包 
(4) -t : 不显示时间戳 
在控制台抓包 
不过这样比较麻烦,输出到控制台对于数据包多的时候显得麻烦,我们把他输出到文件,借助wireshark帮我们分析数据包,首先要安装wireshark,直接通过yum安装。

yum install wireshark(核心,可以用命令tshark)
yum install wireshark-gnome(界面,可以用命令wireshark)

安装后在root权限下通过wireshark命令启动图形界面, 
不过在CentOS 6.5中会出现一个错误wireshark: symbol lookup error: wireshark: undefined symbol: gtk_combo_box_text_new_with_entry 
这个错误是gtk2的一个bug,我们要更新下gtk2:

yum update gtk2

之后就可以正常启动wireshark了,我们这里也可以使用wireshark抓包,这里不做演示,我们主要使用wireshark帮我们分析包,所以首先用tcpdump抓包并且保存到文件。可以在tcpdump命令后加-w指定输出的文件,我们

tcpdump -i eth0 port 80 -c 3 -t -w /home/max/tcpdump.pcap

抓包后我们打开wireshark(root权限),点击File-Open打开刚才的抓包文件 
wireshark分析 
就可以分析包了,这里就不具体分析了。 
过几天写一个抓包器,实现抓包并保存起来通过wireshark来分析。

centos7下wireshark抓包示例
ximenxiafeng的专栏
11-14 1736
centos7 安装wireshark https://blog.csdn.net/brightming/article/details/49174663 ---------------------------------------------------------------- yum -y install wireshark tshark -i eth0 port 22 -c 100 >> /home/tshark-20190403.txt 说明: -i eth0 指定.
TCP/IP协议详解学习笔记-- 链路层(包含CentOS6.5抓包工具tcpdump使用
Yvonne8_5的专栏
02-18 1940
a链路层的目的 b以太网和IEEE 802封装IEEE 8023帧结构 Ethernet II帧结构 帧识别 cPPP点对点协议PPP数据帧格式 比特填充与字符填充 d环回接口环回接口处理IP数据报的过程 e最大传输单元MTU路径MTU f用tcpdump抓包分析帧结构注:本文图片均来自于网络,若侵权请联系我删除。a.链路层的目的 为IP模块发送和接收IP数据报 为ARP模块发送ARP请求和接收A
Centos6.5下通过使用tcpdump抓包wireshark分析
weixin_33747129的博客
07-31 249
Centos6.5下通过使用tcpdump抓包wireshark分析包,初步了解抓包和解包安装首先我们要安装tcpdump,必须的库:view sourceprint?1.<codeclass=" hljs cmake">yum install flex2.yum install bison3.yum install gcc </code>...
利用tcpdump抓包,通过Wireshark进行分析
最新发布
m0_50059173的博客
05-28 897
扩展:导出的文件可以设置为 cap 或者 pcap 的格式,可以直接用 wireshark 工具打开;常用的网络协议有 udp、tcp、dns、ip、ssl、http、ftp、arp、icmp、smtp、pop、telnet、ssh、rdp、sip 等。报文打印在 shell 里会太多且不方便查看,我们可以保存成文件;可以根据网络包的 Payload Type 类型进行条件过滤,比如根据下图中的 111 枚举值过滤。注意:POST 一定要大写!注意:GET 一定要大写!
CentOS6.5 安装 抓包工具tcpdump
catzhangzbt的专栏
06-07 1018
LinuxCentOS6.5离线安装gcc包。安装方法下载gcc.zip文件上传服务器解压后进入gcc目录执行./install-gcc.sh命令。执行查看gcc版本命令:gcc -v;执行查看g++版本命令:g++ -v。csdn上有已经整理好的包文件,
centos5.5 安装tcpdump
sshtsl的专栏
06-27 652
[root@172.22.254.73 bin]# yum install tcpdump -bash: /usr/bin/yum: /usr/bin/python2.4_old: bad interpreter: No such file or directory 貌似是yum指定了python2.4_old 软连接一个: ln -s /usr/bin/python2.4 /usr/
Centos抓包方法
weixin_30563917的博客
09-19 6328
1. 安装tcpdump工具 rpm -ql tcpdump          #查看tcpdump是否安装 本机是安装的,yum安装: yum install tcpdump 2. tcpdump抓包 根据协议和端口抓包 tcpdump -i eth0 udp port 694 -n             #-i指定网卡信息 udp协议 tcpd...
centos7 -- linux 系统离线安装tcpdump抓包软件、使用教程
zengliguang的专栏
11-13 4796
将离线安装程序拖动到root目录下。
wireshark分析oracle报错,Linux下抓包工具tcpdump以及分析包的工具wireshark
weixin_35250656的博客
04-15 975
tcpdump是用来抓取数据的,wireshark则是用于分析抓取到的数据的。一般需要安装,直接使用yum安装:yum -y install tcpdump即可。Tcpdump使用方法(1)关于类型的关键字主要包括host,net,port例如: host 210.27.48.2,指明 210.27.48.2是一台主机,net 202.0.0.0 指明 202.0.0.0是一个网络地址,port ...
CentOS】下tcpdump + ftp + Wireshark
小白的程序猿学习博客
07-25 364
** CentOStcpdump + ftp + Wireshark ** 在实际的网络测试和开发过程中,不可避免要用到抓包工具,Linux服务器自然首选是tcpdump,而Windows首选是Wireshark,因为后者有着良好的抓包和图形分析界面,但实际应用过程中,可能遇到抓包只能在Linux服务器端上操作,但是tcpdump抓包出的数据并不能分析,所以我们迫切需要一种方式,可以实现在Lin...
centos抓包使用
lp52054xgy的专栏
04-12 2224
1、如果是windows,直接用wirshark 2、centos抓包 2.1、运行指令 tcpdump -i eno16780032 port 7071 -c 10 -t -w /usr/local/tcpdump.pcap // eno16780032为网卡名称,可用ifconfig找到相关ip的名称 // -c 10 指抓取10个包 // ctl + c 停止后,自动保存文件,用wirshark打开分析 // 一般在http的协议最后面可看到数据,tcp的一般看不到数据 ...
centos抓包分析
lanxiaziyi的专栏
03-05 519
centos抓包分析
tcpdump抓包,并使用wireshark进行分析
weixin_30273175的博客
09-15 357
---恢复内容开始---   一直想写来着,但是一直没去写,自己还是太懒了,废话不多说。 本次的使用环境是centos7,首先看下tcpdump命令的基本语法 执行:man tcpdump命令可以看到tcpdump的基本语法 我这里就不再截图了,上面对于 有兴趣的可以自己去看看,如果不方便的也可以查看这个帖子:https://blog.cs...
CentOS 8下基于C语言 使用libpcap对IPv4抓包实现
毕业作品网站
05-16 1184
自用腾讯云服务器。
centos安装使用wireshark记录
Make
02-28 2181
#安装软件 yum install wireshark 注意这样并无法使用wireshark命令和图形界面。但提供了抓包基本功能。可以用命令tshark yum install wireshark-gnome(界面,可以用命令wireshark) #查找安装路径 whereis wireshark 用命令tshark抓包 输出捕捉包: 查看网卡 ifcofnig echo 1>packet.txt tshark -w packet.txt -i eth0 -q...
CentOS使用tcpdump抓包
weixin_30555515的博客
03-20 625
安装: yum install tcpdump 命令使用: 监听特定网卡 tcpdump 抓取第一块网卡所有数据包 [root@server110 tcpdump]# tcpdump tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10...
CentOS操作系统中,tcpdump抓包工具使用介绍
yanbaobao1999的博客
07-15 3317
CentOS 操作系统中,tcpdump 是一个强大的命令行网络抓包工具。它可以用于捕获、分析和监控网络流量。
tcpdump抓包命令使用wireshark解析
02-06
### 如何使用 `tcpdump` 进行抓包 为了有效地利用 `tcpdump` 和 Wireshark 组合来捕获和分析网络流量,可以遵循以下方法: #### 安装必要的工具 在Linux环境中,确保已安装了 `tcpdump` 工具。如果尚未安装,则可以通过系统的包管理器进行安装。例如,在基于Red Hat的企业版Linux或其衍生版本如CentOS中,可执行如下命令完成安装[^4]: ```bash sudo yum install tcpdump ``` 对于Debian及其派生发行版(如Ubuntu),则应使用apt-get: ```bash sudo apt-get update && sudo apt-get install tcpdump ``` 同样地,也需要准备一台能够运行Wireshark程序的工作站来进行后续的数据包分析工作。 #### 执行抓包操作 假设目标是在特定网卡上监听HTTP请求(`port 80`)并将结果保存至文件以便稍后处理。此时可以在终端输入下列指令启动tcpdump服务并指定参数: ```bash sudo tcpdump -i eth0 'port 80' -w /tmp/http_traffic.pcap ``` 这条命令中的各个部分含义分别为: - `-i eth0`: 表明要监控的是名为eth0的网络接口; - `'port 80'`: 设置过滤条件为仅捕捉TCP端口号等于80的服务通信流; - `-w /tmp/http_traffic.pcap`: 将捕获的结果写入/tmp目录下的http_traffic.pcap文件而不是直接打印到屏幕上; 当不再需要继续记录新的会话时,可通过按下Ctrl+C键终止进程。 #### 转移数据包文件给Wireshark 一旦完成了所需时间段内的数据收集之后,就需要把生成好的`.pcap`格式的日志传输到另一台计算机上的Wireshark应用程序处做进一步解读。这一步骤通常涉及SCP或其他形式的安全拷贝机制将远程主机上的日志下载下来[^5]。 #### 使用Wireshark解析数据包 最后,在本地机器上启动Wireshark客户端应用,并按照菜单指引加载之前传过来的那个PCAP文档。具体来说就是点击顶部栏里的【File】-> 【Open...】, 浏览定位到对应的路径选取该文件名结尾带有".pcap"扩展名的目标对象,双击打开它就可以看到详细的分组信息列表了。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值