基于 OpenWrt 实现 tcpdump 抓包并在 Windows 系统上的 Wireshark 中格式化显示

最新推荐文章于 2024-05-31 10:51:13 发布
最新推荐文章于 2024-05-31 10:51:13 发布
阅读量4.1k 收藏 4
点赞数 1
CC 4.0 BY-SA版权
分类专栏: OpenWrt 文章标签: openwrt wireshark
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/yuan9ji/article/details/78546117
本文介绍如何在Openwrt系统下使用tcpdump与Windows系统下的Wireshark结合plink进行远程网络抓包的方法。通过ssh连接并设置tcpdump参数,如指定网络接口、端口等,最终将捕获的数据包导入Wireshark进行分析。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

工具:

  • Openwrt 系统下的 tcpdump
  • Windows 系统下的 Wireshark 和 plink

快捷键

  • 在路由器的 Openwrt 系统下安装 tcpdump 工具
  • 在 Windows 系统下安装 Wireshark 程序,并不下载的 plink 工具放入 Wireshark 的安装目录下
  • 在 Windows 系统下打开命令窗口,进入 Wireshark 安装目录,运行 plink -ssh USER@HOST -pw PASS "tcpdump -s 0 -U -n -i br-lan -w - not port 22" | wireshark -k -i -

说明:
USER: 是路由器 Openwrt 系统的登录用户名
HOST: 是路由器的远程登录 IP
PASS: 是路由器 Openwrt 系统的登录密码
br-lan: 是需要抓取路由器数据包的网络接口,可以选择其他接口
tcpdump 参数说明:
-i: 指定网络接口,不指定则默认抓取第一个网络接口
port:指定截获端口
host:指定截获的主机
not:不包括
-s 0: 抓取数据包默认抓取长度为68字节, -S 0:可以抓取到完整的数据包
-c 100: 只抓取100个数据包
-U:让数据包打印时直接输出到stdout而不是在输出缓存满后再输出,当文件名是”-“时,输出原数据包到stdout
-n:不把主机的网络地址转换为名字
-w:把数据包数据写入指定的文件

-ssh:强制使用ssh通讯协议

实现抓包

  • 在路由器的 Openwrt 系统下安装 tcpdump 工具
Windows 下利用openwrt网关进行wireshark抓包
LeeKwen的专栏
03-08 5295
Windows 下利用openwrt网关进行wireshark抓包
学习笔记:openwrt 使用 tcpdump 抓包后通过 plink 连接到 Wireshark 实时过滤分析
老板来份猪脚拼叉烧的博客
11-06 3384
tcpdump plink
OpenWrt 上运行的tcpdump
08-21
OpenWrt 上运行的tcpdump; 先安装libpcap.ipk 再安装tcpdump.ipk
OpenWrt安装tcpdump抓包
qq_16390523的专栏
12-24 1万+
文章摘自:http://demon.tw/hardware/openwrt-tcpdump.html tcpdump是一个运行在命令行下的嗅探工具,它允许用户拦截和显示发送或收到过网络连接到该计算机的TCP/IP和其他数据包。OpenWrt + tcpdump = 抓包神器。 安装过程很简单: opkg update opkg install tcpdump 开始抓
用plink ssh打开wireshark 连接openwrt tcpdump获取抓包数据
weixin_40938312的博客
03-29 1575
参考参考 ssh代码 plink -ssh root@172.20.10.2 -pw root -batch "/usr/sbin/tcpdump -w -" | wireshark -k -i - -pw是密码 -batch必须加不然报错 /usr/sbin/tcpdump路径必须要有 不然提示not found plink与wireshark路径需要在环境变量 系统变量path中加入 plink文件要用这个 在官网下的好像不支持 参考 C:\Users\asus\Desktop\test\plin
w育ndows抓包,Windows 下利用openwrt网关进行wireshark抓包
weixin_30969479的博客
05-25 957
抓包环境说明:第一、需要在windows下安装wireshark;第二、需要下载windows版的plink.exe(下载putty时自带的);第三、需要在OpenWRT上安装tcpdump程序;cmd使用说明:Microsoft Windows [版本 6.1.7601]版权所有 (c) 2009 Microsoft Corporation。保留所有权利。C:\Users\LeeKwen>...
windows上使用wiresharkopenwrt进行抓包
byteman_wang的专栏
04-28 3411
plink.exe -ssh -pw admin root@192.168.1.1 "tcpdump -ni br-lan -s 0 -w - not port 22" | "C:\Program Files (x86)\Wireshark\Wireshark.exe" -k -i -
rpcapd 竟斗云2.0 openwrt wireshark远程抓包
03-05
rpcapd 二进制编译文件 for 竟斗云2.0 openwrt配合wireshark实现远程抓包 用法: ./rpcapd -n -b 0.0.0.0 -d
OpenWrt 路由系统抓包
热门推荐
钱国正的专栏
06-18 8万+
前言: 做路由器开发,难免会遇到抓包的情况,但是抓包需要有Hub或者无线抓包网卡,调试无线问题,且目前手中没有无线抓包网卡,怎么办?那不能分析无线连接建立的过程,我们就来分析下,其传输的数据,肯定是从ra0无线接口来进行了。 准备: 编译tcpdump.ipk, libpcap.ipk且安装到OpenWRT系统中。 可选传输方式scp, wget等。 wget http:///
OpenWrt tcpdump 抓包
weixin_30725467的博客
03-05 2952
路由器用的是 网件的 4300 刷的是石像鬼双固件 1, 安装支持库opkg updateopkg install libpcapopkg install tcpdump 2, 设置条件开始捕获tcpdump tcp -s 0 -c 100 and port 443 -w /tmp/443.cap 可以 tcp udp 都可以 可以存到 tmp 或 u盘里面-s 0 -...
借用Openwrt进行抓包
lv75543255的专栏
08-04 4608
[待详细] ssh  root@ "tcpdump  -i br-lan -s 0 -w -" | ./Wireshark.exe -k -S -i -
openwrt进行远程wireshark抓包
fangyuanqi的博客
07-03 4420
转自: http://www.voidcn.com/article/p-dydldyla-dr.html
openwrt利用tcudump捕获流量,同时使用wireshark分析流量
皮卡丘的情绪
01-05 1376
命令: ssh root@192.168.2.1 "tcpdump -i br-l -U -s0 -w - host 192.168.2.182" | wireshark -k -i -
Linux下使用Wireshark通过OpenWrt路由器抓取IPTV源
mango大侠的博客
05-31 2069
第一种,“ip.addr eq 机顶盒ip and http”例如:ip.addr eq 10.0.0.179 and http。3,确保PC与机顶盒同一网段(我使用kali自带Wireshark,其他版本先安装)第三种,ip.addr eq 10.0.0.179 and http。第四种,ip.addr eq 10.0.0.179 and rtsp。第二种,ip.addr eq 10.0.0.179 and udp。2,机顶盒网线连接路由器,设置自动获取IP(记下ip)一般特征:http 302。
openwrt 完美安装 tcpdump
皮卡丘的情绪
01-05 4401
直接使用 opk install tcpdump,报下面的错: Collected errors: * check_data_file_clashes: Package libpcap1 wants to install file /usr/lib/libpcap.so.1 But that file is already provided by package * libpcap * opkg_install_cmd: Cannot install package tcpdump. ...
如何利用openwrt路由器的tcpdump抓捕生成文件传回主机
最新发布
06-19
<think>我们已知用户的需求是:在OpenWrt路由器上使用tcpdump抓包将生成的文件传输回主机。根据引用内容,我们可以总结以下步骤:1.在OpenWrt上安装tcpdump(如果尚未安装)。2.使用tcpdump命令进行抓包抓包数据保存到文件中(注意:OpenWrt的存储空间可能有限,所以可能需要将文件保存到临时目录,或者直接传输到主机)。3.将抓包文件从OpenWrt传输到主机。传输方法有多种,例如:使用scp、通过SSH管道实时传输(如引用中提到的使用plink和Wireshark实时显示,但用户要求生成文件传输,所以我们可以先保存文件再传输,或者使用管道直接传输到主机的Wireshark或文件)。但是,用户明确要求生成文件传输到主机,所以我们可以分两步:方法一:在OpenWrt抓包保存为文件,然后用scp将文件复制到主机。方法二:在抓包的同时通过SSH管道将数据实时传输到主机保存为文件(这样即使OpenWrt存储空间不足也可以操作)。下面分别介绍两种方法:###方法一:先保存文件再传输(适合抓包时间短,数据量不大的情况)**步骤1:在OpenWrt上安装tcpdump**通过SSH登录到OpenWrt路由器,执行:```bashopkgupdateopkginstalltcpdump```**步骤2:使用tcpdump抓包保存文件**例如,抓取eth0接口上的所有数据包,保存为pcap文件:```bashtcpdump-ieth0-w/tmp/capture.pcap```按Ctrl+C停止抓包后,文件将保存在/tmp/capture.pcap。**步骤3:将文件传输到主机**从主机(假设是Windows)使用scp命令(需要主机有SSH客户端,比如OpenSSH或PuTTY的pscp):在主机上打开命令提示符或PowerShell,执行:```bashscproot@192.168.1.1:/tmp/capture.pcapC:\path\to\save\capture.pcap```其中,`root`是OpenWrt的用户名,`192.168.1.1`是OpenWrt的IP地址,`C:\path\to\save\`是主机上保存文件的路径。注意:如果OpenWrt的SSH端口不是默认的22,则需要使用`-P`选项指定端口。###方法二:实时传输抓包数据到主机(适合长时间抓包OpenWrt存储空间有限的情况)这种方法在抓包的同时将数据通过SSH管道传输到主机,保存为文件。**步骤1:在主机上执行接收命令**在主机上(以Windows为例)打开命令提示符,使用plink(PuTTY的命令行工具)或OpenSSH的ssh命令建立SSH连接,执行远程tcpdump命令,将输出重定向到文件。使用OpenSSH(如果Windows已安装OpenSSH客户端):```bashsshroot@192.168.1.1"tcpdump-ieth0-s0-w-">C:\capture.pcap```这里,`-w-`表示将抓包数据写入标准输出,然后通过SSH传输到主机的标准输出,重定向到文件。如果使用plink(需要先下载plink.exe添加到PATH环境变量):```bashplink.exe-sshroot@192.168.1.1-pw密码"tcpdump-ieth0-s0-w-">C:\capture.pcap```注意:这种方法在停止抓包时(按Ctrl+C)会同时终止SSH连接,抓包文件会保存到主机。**方法二的注意事项:**1.实时传输可能会因为网络波动而中断,导致抓包不完整。2.在抓包命令中,可以添加`notport22`以避免抓取SSH本身的流量(如引用[3][^3]和[4][^4]中提到的),例如:```bashsshroot@192.168.1.1"tcpdump-ieth0-s0-w-notport22">C:\capture.pcap```###两种方法的比较|方法|优点|缺点||------|------|------||先保存再传输|操作简单,文件直接保存在路由器上,传输独立|受限于路由器的存储空间,不适合长时间抓包||实时传输|不占用路由器存储空间,适合长时间抓包|依赖稳定的SSH连接,断开可能导致抓包终止|###补充说明:使用Wireshark实时显示(非生成文件)如果用户希望实时查看抓包而不只是生成文件,可以参考引用[3][^3]和[4][^4]的方法,将tcpdump的输出通过管道传递给Wireshark。但用户明确要求生成文件,所以这里不展开。根据用户需求,我们提供了两种生成文件传输的方法。###常见问题处理1.**tcpdump命令找不到**:确保已安装tcpdump,如果安装后仍找不到,可能需要使用绝对路径`/usr/sbin/tcpdump`(如引用[4][^4]所示)。2.**权限问题**:确保有执行tcpdump的权限(通常需要root)。3.**SSH连接问题**:确保主机的SSH客户端可以连接OpenWrt正确指定用户名、密码和端口。以上步骤应能帮助用户在OpenWrt抓包将文件传输到主机。§§相关问题§§1.如何在OpenWrt上安装tcpdump?2.如何避免tcpdump抓包文件过大?3.除了scp,还有哪些方法可以将文件从OpenWrt传输到主机?</think>以下是基于 OpenWrt 实现抓包传输文件到主机的完整解决方案,结合引用内容和网络工程最佳实践: ### 一、OpenWrt 抓包操作流程 #### 1. **安装 tcpdump** ```bash opkg update opkg install tcpdump ``` > 注意:部分设备需指定路径 `/usr/sbin/tcpdump`[^4] #### 2. **执行抓包保存文件** ```bash # 基础抓包(保存到路由器存储) tcpdump -i eth0 -s 0 -w /tmp/capture.pcap # 高级过滤示例(排除SSH流量) tcpdump -i br-lan 'port not 22' -s 0 -w /tmp/filtered.pcap ``` **参数解析**: - `-i eth0`:指定网卡(替换为实际接口如 `br-lan`) - `-s 0`:抓取完整数据包[^1] - `-w /tmp/capture.pcap`:保存到临时目录 - `not port 22`:排除SSH流量[^3] #### 3. **实时监控抓包状态** ```bash # 查看抓包文件大小 ls -lh /tmp/capture.pcap # 终止抓包 Ctrl+C ``` ### 二、文件传输到主机的三种方法 #### ▶ 方法1:SCP 直接传输(推荐) ```bash # 从主机执行(Windows/Linux通用) scp root@192.168.1.1:/tmp/capture.pcap ~/Downloads/ ``` > 需输入路由器密码,传输后文件在主机 `Downloads` 目录 #### ▶ 方法2:SSH 管道实时传输 ```bash # Windows 使用 plink (需预先下载) plink.exe -ssh root@192.168.1.1 -pw 密码 "tcpdump -i eth0 -s 0 -U -w -" > capture.pcap ``` **优势**:不占用路由器存储空间[^3][^4] #### ▶ 方法3:HTTP 临时下载 ```bash # 在路由器创建HTTP服务 opkg install lighttpd cp /tmp/capture.pcap /www/ ``` 浏览器访问:`http://192.168.1.1/capture.pcap` ### 三、专业技巧与故障处理 1. **大文件处理**: ```bash # 拆分文件(每100MB分割) tcpdump -i eth0 -C 100 -w /tmp/capture.pcap ``` 2. **权限问题修复**: ```bash chmod 644 /tmp/capture.pcap # 确保文件可读 ``` 3. **Wireshark 实时分析**: ```bash plink.exe -ssh 192.168.1.1 -l root -pw 密码 -batch \ "/usr/sbin/tcpdump -s0 -U -n -i any -w -" | \ wireshark -k -i - ``` 实现抓包数据直通 Wireshark[^3][^4] ### 四、传输方案对比 | 方法 | 速度 | 存储占用 | 适用场景 | |-------------|------|----------|-----------------------| | SCP传输 | ★★★ | 需路由器空间 | 小文件快速传输 | | 管道实时传输| ★★☆ | 零占用 | 大文件/长期抓包 | | HTTP下载 | ★☆☆ | 需路由器空间 | 无SSH客户端的临时传输 | > 注:管道传输需保持SSH连接稳定,中断会导致抓包终止[^4] ### 五、验证与分析 1. **文件完整性检查**: ```bash # 在主机验证 capinfos capture.pcap ``` 输出包含 `Number of packets: 1234` 即有效 2. **数据包分析**: - Wireshark 打开 `.pcap` 文件 - 使用过滤器 `tcp.port == 80` 分析HTTP流量 ---
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值