wireshark数据包分析解析说明.pdf

数据包分析简介 WireShark 目 录 Contents 第1章 Linux上抓包与分析 第2章 Windows抓包方法 第3章 Wireshark进行数据包分析 TCPdump命令介绍 顾名思义，tcpdump可以将网络中传送的数据包的“头”完全截获下来提供 分析。它支持针对网络层、协议、主机、网络或端口的过滤，并提供and 、or 、 not等逻辑语句来帮助你去掉无用的信息。 常用选项介绍 -c ：在收到指定的数量的分组后，tcpdump就会停止; -f ：将外部的Internet地址以数字的形式打印出来; -i ：指定监听的网络接口; -n ：不把网络地址转换成名字; -nn ：不进行端口名称的转换; -s ：从每个分组中读取最开始的snaplen个字节，而不是默认的68个字节; -w ：直接将分组写入文件中，而不是不分析并打印出来; -v ：输出一个稍微详细的信息，例如在ip包中可以包括ttl和服务类型的信息; -vv ：输出详细的报文信息; -x ：可以列出十六进制(hex) 以及ASCII 的封包内容，对于监听封包内容很有 用; TCPdump表达式介绍 常用表达式介绍 第一种是关于类型的关键字，主要包括host，net，port，例如host ，指 明是一台主机，net 指明是一个网络地址，port 23 指明端口 号是23 。如果没有指定类型，缺省的类型是host。 第二种是确定传输方向的关键字，主要包括src，dst，dst or src，dst and src，这些关 键字指明了传输的方向。举例说明，src ，指明ip包中源地址是 ， dst net 指明目的网络地址是 。如果没有指明方向关键字，则缺省是src or dst关键字。 第三种是协议的关键字，主要包括fddi ，ip, arp，rarp, tcp ，udp等类型。Fddi指明是 在FDDI (分布式光纤数据接口网络)上的特定的网络协议，实际上它是”ether”的别名，fddi 和ether 具有类似的源地址和目的地址，所以可以将fddi协议包当作ether 的包进行处理和 分析。其他的几个关键字就是指明了监听的包的协议内容。如果没有指定任何协议，则 tcpdump 将会监听所有协议的信息包。 除了这三种类型的关键字之外，其他重要的关键字如下：gateway ，broadcast，less， greater ，还有三种逻辑运算，取非运算是 ‘not ! ‘，与运算是’and’，’;或运算 是’or’ ，’#124;#124;’ ；这些关键字可以组合起来构成强大的组合条件来满足人们的 需要。 TCPdump应用举例 在应用中往往需要截获整个包的长度，避免域名解析后的结果不直观，保 存抓包文件但同时在过程中也想知道实时状态，因此下面的例子都以这个条件 为前提。 1.截获收到和发出的数据包。 tcpdump -i any -xns0 host -w myhost.cap -vv 2. 截获8080端口的数据包。 tcpdump -i any -xns0 port 8080 -w myhost.cap -vv 3. 截获和27之间的数据包。 tcpdump -i any -xns0 host and 27 -w hosts.cap -vv 4. 截获/24这个网段的数据包 tcpdump -i any -xns0 net /24 -w mynet.cap -vv 5. 截获发给27的数据包 tcpdump -i any -xns0 src and dst 27 -w request.cap -vv TCPdump应用举例 6. 截获发给27的8080端口的数据包 tcpdump -i any -xns0 src and dst 27 and port 8080 -w request.cap -vv 7.截获发的100个数据包 tcpdump -i any -xns0 -c 100 src -w request100.cap -vv 8.截获发来的icmp包 tcpdump -i any -xns0 src and icmp -w ping.cap -vv 9.截获主机27 与31和34之间的数据包 tcpdump