Tcpdump结合Wireshark分析Http/TCP报文

最新推荐文章于 2022-08-20 20:30:17 发布
最新推荐文章于 2022-08-20 20:30:17 发布
阅读量3.9k 收藏 1
点赞数
文章标签: 图形 tcp 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/yeeman/article/details/6818067
版权
本文介绍如何使用TCPdump捕获并用Wireshark分析数据包的方法,包括参数-s0与-w的使用,以及Wireshark在不同层上的数据展示。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

tcpdump -w output.cap -s0

-s 0 -s:指定抓包显示一行的宽度,-s0表示显示完整的包,最好加上,否则很多包都会被截断,就看不全了

-w    直接将包写入文件中,并不分析和打印出来;


#tcpdump –r google.cap http

这句命令的意思是让tcpdump读取google.cap文件,把其中http协议的数据包都给过滤出来。


wireshark可以在图形界面下分析应用层按照TCP/IP四层结构显显示数据包,

第一行是数据链路层的信息,

第二行是网络层信息(IP协议),

第三行是传输层信息(TCP协议),

第四行是应用层信息(HTTP协议),

可以展开每一行用来观察具体的内容


zhgyee
关注
【网管博客 | 01】抓取分析网络数据包?力推默契老搭档——tcpdump&wireshark
木子Linux的博客世界
05-22 1529
tcpdump是一个在linux环境下常用的抓包工具,Wireshark是一个网络封包分析软件,二者结合,其利断金
使用tcpdumpWireshark进行简单TCP抓包分析【图文教程】
qq_42037383的博客
07-19 2797
和都是网络分析工具,用于捕获和分析网络数据包,但它们在功能和使用上有所不同。所以,这两者实际上是搭配使用的,先用 tcpdump 命令在 Linux 服务器上抓包,接着把抓包的文件拖出到 Windows 电脑后,用 Wireshark 可视化分析。如果你是在 Windows 上抓包,只需要用 Wireshark 工具就可以。
tcpdump tcp http Wireshark 抓包
ferghs的专栏
11-13 403
1、tcpdumphttp包 打印在屏幕上 tcpdump -i eth0 -A -s 0 'dst 192.168.0.12 and tcp port 8082 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)' tcpdump -i eth0 -A -s 0 'dst ...
tcpdump/HTTP协议实践
weixin_34348174的博客
11-09 385
tcpdump/HTTP协议实践 客户端: CLOSED->SYN_SENT->ESTABLISHED->FIN_WAIT_1->FIN_WAIT_2->TIME_WAIT->CLOSED 服务端: CLOSED->LISTEN->SYN收到->ESTABLISHED->CLOSE_W...
TCPHTTP协议及Wireshark抓包
Baker的博客
10-31 1667
TCPHTTP协议及Wireshark抓包一、TCP协议1. 特点2. 三次握手和四次挥手二、HTTP协议1. 特点2. 工作原理三、Wireshark抓包四、总结参考 一、TCP协议 传输控制协议(TCP,Transmission Control Protocol)是一种面向连接的、可靠的、基于字节流的传输层通信协议,由IETF的RFC 793 定义。 TCP旨在适应支持多网络应用的分层协议层次结构。 连接到不同但互连的计算机通信网络的主计算机中的成对进程之间依靠TCP提供可靠的通信服务。TCP假设
WireShark过滤解析HTTP/TCP
diaomu5377的博客
01-05 334
过滤器的使用:   可利用“&&”(表示“与”)和“||”(表示“或”)来组合使用多个限制规则, 比如“(http && ip.dst == 64.233.189.104) || dns”和ip.src != 10.1.2.3 or ip.dst != 10.4.5.6 如果需要将某次捕获记录保存下来方便以后再分析的话则可保存为记录文件,有时候...
网络报文分析工具的使用 - 跟小智一起学网络(4)
每天分享一个编程小知识
11-28 3351
前言 哈喽,小伙伴们,大家好,我是小智。 在后面的网络知识学习中,都离不开对数据报文分析。俗话说,工欲善其事,必先利其器。掌握网络分析工具的基本使用,对我们后面的学习会起到事半功倍的效果。 网络世界中的数据报文(我们也叫它数据包)看不见摸不着,但是通过 Wireshark 这款软件,我们不仅可以抓取到报文,而且还可以详细分析报文的每个字段。 这个章节包含的内容如下: tcpdump的安装 由于前面安装的 CentOS 没有图形化界面,所以在 CentOS 里面不能直接使用 Wireshark 抓包,我们
Android中使用tcpdumpwireshark进行抓包并分析技术介绍
01-05
本文主要介绍如何使用tcpdumpwireshark对Android应用程序进行抓包并分析,需要说明的是在抓包之前,你的Android设备必须root过了,另外你的电脑必须有Android SDK环境。 下载并安装tcpdump tcpdump链接:...
用于分析tcpdump抓包得到的RTSP数据_wireshark_rtsp_over_tcp.zip
09-22
在使用Wireshark分析RTSP over TCP数据包时,用户可以按照以下步骤进行: 1. 运行Wireshark并选择正确的网络接口开始捕获。 2. 使用RTSP过滤器来筛选RTSP相关的数据包。 3. 深入分析每个RTSP请求和响应,检查其中的...
Linux网络抓包分析工具(tcpdumpwireshark
m0_71521555的博客
08-20 1万+
tcpdumpwireshark
linux网络请求抓包,使用TCPDump和Ethereal抓包分析HTTP请求中的异常情况
weixin_28832121的博客
05-05 1177
在测试功能的过程中,出现这样一种现象.前端js发起ajax请求后,在浏览器的审查元素网络状态中可以看到status为pending,等15秒以后js会把当前超时的请求取消掉,变成了红色的cancel.针对这一现象,我在本地Windows电脑和远程Linux测试机进行了网络抓包分析.由于出现的几率很随机,但是出现频率挺高,我先在Linux测试机中使用tcpdump进行的抓包分析,可以看到正常的请求是...
使用tcpdump抓包实时分析http内容
weixin_43838889的博客
10-02 1556
#! /usr/bin/python # 使用tcpdump抓包实时分析http内容 # 环境Centos 6.8 Python 2.6.6 import urllib import time def tcpdump(): import subprocess, fcntl, os # sudo tcpdump -i bond0 -n -s 0 -w - | grep...
超级详细Tcpdump 的用法
会哭的雨@的博客
08-02 1万+
1、抓取回环网口的包:tcpdump -i lo 2、防止包截断:tcpdump -s0 3、以数字显示主机及端口:tcpdump -n 第一种是关于类型的关键字,主要包括host,net,port, 例如 host 210.27.48.2,指明 210.27.48.2是一台主机,net 202.0.0.0 指明 202.0.0.0是一个网络地址,port 23 指明端口号是23。如...
Charles抓包简介
Andukr的博客
12-01 678
Charles是一款测试常用抓包软件,通过成为电脑或者浏览器的代理,然后截取请求和请求结果达到分析抓包的目的。 Charles是在 常用的网络封包截取工具,在做移动开发时,我们为了调试与服务器端的网络通讯协议,常常需要截取网络封包来分析。Charles 通过将自己设置成系统的网络访问代理服务器,使得所有的网络访问请求都通过它来完成,从而实现了网络封包的截取和分析。除了在做移动开发中调试端口外,Charles 也可以用于分析第三方应用的通讯协议。配合 Charles 的 SSL 功能,Charles 还可以分
tcpdumphttp
懒雄熊的专栏
11-17 1765
tcpdump对于网络分析是很有用的工具,提供抓取经过网卡数据包的功能 抓取httptcpdump -XvvennSs 0 -i eth0 tcp[20:2]=0x4745 or tcp[20:2]=0x4854 0x4745 为"GET"前两个字母"GE",0x4854 为"HTTP"前两个字母"HT"。 输出到文件: sudo tcpdump -XvvennSs 0 -i...
tcpdump参数解析及使用详解
weixin_46048542的博客
12-05 1万+
tcpdump介绍 tcpdump 是一个运行在命令行下的抓包工具。它允许用户拦截和显示发送或收到过网络连接到该计算机的TCP/IP和其他数据包。tcpdump 适用于大多数的类Unix系统操作系统(如linux,BSD等)。类Unix系统的 tcpdump 需要使用libpcap这个捕捉数据的库就像 windows下的WinPcap。 在学习tcpdump前最好对基本网络网络知识有一定的认识。 tcpdump命令格式及常用参数 Tcpdump的大概形式如下: 例:tcpdump –i eth0 'por
wireshark TCP常见异常报文分析
myvest的专栏
10-19 1万+
流媒体播放中,常常需要借助wiresharkTCP层面对交互过程进行分析,本文记录一些常见的TCP异常报文及其分析。 乱序与丢包 1、[TCP Previous segment not captured] [TCP Previous segment not captured]报文指的是在TCP发送端传输过程中,该Seq前的报文缺失了。一般在网络拥塞的情况下,造成TCP报文乱序、丢包时,会出现该标...
tcpdump命令及输出详解
SeekAndFindYou的博客
11-17 1302
原文链接 一. 使用方法 1. 指定类型 host:指定主机 tcpdump host 192.168.100.1 tcpdump host 192.168.100.1 and !192.168.100.2 tcpdump host 192.168.100.1 and \(192.168.100.2 or 192.168.100.3\) net:指定网络地址 tcpdump net 192.168.100.0/24 port:指定端口 tcpdump port 80 2. 指定方
TCP(三)异常报文分析
热门推荐
qq_32092237的博客
09-15 3万+
流媒体播放中,常常需要借助wiresharkTCP层面对交互过程进行分析,本文记录一些常见的TCP异常报文及其分析。 乱序与丢包 1、[TCP Previous segment not captured] [TCP Previous segment not captured]报文指的是在TCP发送端传输过程中,该Seq前的报文缺失了。一般在网络拥塞的情况下,造成TCP报文乱序、丢包时,会出现该标志。 需要注意的是,[TCP Previous segment not captured]解析文字是wiresh
wireshark 如何使tcp报文中的sock5协议显示出来
最新发布
03-25
<think>好的,我需要解决用户的问题:如何在Wireshark中让TCP报文中显示SOCKS5协议的相关信息。首先,我得回忆一下Wireshark的基本操作和协议解析方法。用户提到的是SOCKS5协议,它运行在TCP之上,所以需要确保Wireshark能够正确解析TCP负载中的SOCKS5数据。 首先想到的是,Wireshark默认可能不会自动解析SOCKS5,因为SOCKS5通常使用动态端口,比如1080,但用户可能使用其他端口。所以第一步可能需要设置Wireshark的解码方式,或者指定端口为SOCKS5。 然后,参考用户提供的引用信息,特别是引用[1]中提到的tcpdump过滤TCP标志的方法,可能类似的,在Wireshark中可以通过过滤器来筛选特定的流量。例如,过滤使用SOCKS5常见端口的TCP流,比如port 1080。 接下来,需要确认SOCKS5协议的解析是否内置。SOCKS5的协议结构分为握手阶段、认证(如果需要)、请求阶段和传输阶段。Wireshark可能有内置的解析器,但需要手动启用,或者需要编写自定义的解析器。 如果Wireshark没有内置支持,可能需要使用“Decode As”功能,将特定端口的TCP流量强制解码为SOCKS5。例如,右键点击TCP数据包,选择“Decode As”,然后添加TCP端口到SOCKS5的解析器。 此外,可能需要检查SOCKS5的协议规范,确保数据包结构符合标准。例如,SOCKS5的握手开始于客户端发送版本号和方法选择,服务器回应支持的方法。之后的请求包括地址类型和目标地址等信息。如果Wireshark能正确解析这些字段,就能显示出来。 如果用户遇到问题,比如无法解析,可能需要检查是否有更新版本的Wireshark,或者是否安装了支持SOCKS5的插件。另外,确保抓包时已经捕获了完整的握手和通信过程,因为如果只捕获部分数据,解析可能不完整。 最后,根据引用[4]提供的链接,可能需要参考Wireshark的官方文档或社区教程,寻找具体的配置步骤。例如,设置TCP端口的解码方式,或者编写Lua脚本扩展解析功能。 总结步骤可能是:1. 使用正确的捕获过滤器抓取SOCKS5流量;2. 使用“Decode As”指定端口解码为SOCKS5;3. 验证解析结果,若不行,可能需要自定义协议解析。</think>在Wireshark中解析SOCKS5协议需通过以下步骤实现: ### 方法一:基于端口的解码配置 1. **抓取SOCKS5流量** 使用捕获过滤器抓取目标端口为SOCKS5默认端口(如1080)的流量: ```bash tcp port 1080 ``` 若使用非标准端口,需替换为实际端口号[^1]。 2. **强制解码为SOCKS5协议** - 右键任意TCP数据包 → 选择`Decode As...` - 在`Current`列中,为对应端口选择`SOCKS`协议类型 - 点击`Save`后,Wireshark会将相关流量按SOCKS协议解析[^4]。 --- ### 方法二:手动解析字段(若无内置支持) 若Wireshark版本较旧未内置SOCKS5解析器: 1. **分析协议结构** SOCKS5协议包含: - **握手阶段**:客户端发送`0x05 0x01 0x00`(版本5,1种方法,无认证) - **请求阶段**:包含目标地址类型(IPv4/IPv6/域名)和端口号 2. **通过Wireshark字段筛选** 使用显示过滤器定位特定字段: ```bash tcp.payload contains 05:01:00 # 筛选SOCKS5握手包 ``` --- ### 验证解析效果 成功配置后,Wireshark会显示`SOCKS`协议树,包含: - 版本号 - 认证方法 - 请求类型(如`CONNECT`) - 目标地址和端口 ![示例:Wireshark解析SOCKS5请求](https://www.rt-thread.org/document/site/tutorial/qemu-network/wireshark/wireshark/images/packet-socks5.png)[^4]
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值