這篇文章將為大家詳細(xì)講解有關(guān)Linux中如何使用wireshark分析tcpdump抓取的數(shù)據(jù)包，文章內(nèi)容質(zhì)量較高，因此小編分享給大家做個(gè)參考，希望大家閱讀完這篇文章后對相關(guān)知識有一定的了解。

創(chuàng)新互聯(lián)主營安陽縣網(wǎng)站建設(shè)的網(wǎng)絡(luò)公司,主營網(wǎng)站建設(shè)方案,成都app開發(fā),安陽縣h5成都微信小程序搭建,安陽縣網(wǎng)站營銷推廣歡迎安陽縣等地區(qū)企業(yè)咨詢

很多時(shí)候我們的系統(tǒng)部署在Linux系統(tǒng)上面，在一些情況下定位問題就需要查看各個(gè)系統(tǒng)之間發(fā)送數(shù)據(jù)報(bào)文是否正常，下面就簡單講解一下如何使用wireshark分析tcpdump抓取的數(shù)據(jù)包。網(wǎng)絡(luò)數(shù)據(jù)包截獲分析工具。支持針對網(wǎng)絡(luò)層、協(xié)議、主機(jī)、網(wǎng)絡(luò)或端口的過濾。并提供and、or、not等邏輯語句幫助去除無用的信息。

1、首先，通過yum查看tcpdump和wireshark所需要的軟件包

[root@wjq2 ~]# yum search tcpdump

Loaded plugins: product-id, refresh-packagekit, security, subscription-manager

This system is not registered to Red Hat Subscription Management. You can use subscription-manager to register.

================================================ N/S Matched: tcpdump =================================================

tcpdump.x86_64 : A network traffic monitoring tool

  Name and summary matches only, use "search all" for everything.

[root@wjq2 ~]# yum search wireshark

Loaded plugins: product-id, refresh-packagekit, security, subscription-manager

This system is not registered to Red Hat Subscription Management. You can use subscription-manager to register.

=============================================== N/S Matched: wireshark ================================================

wireshark-gnome.x86_64 : Gnome desktop integration for wireshark and wireshark-usermode

wireshark.i686 : Network traffic analyzer

wireshark.x86_64 : Network traffic analyzer

  Name and summary matches only, use "search all" for everything.

2、查看tcpdump和wireshark的軟件包是否安裝，可以發(fā)現(xiàn)，tcpdump已經(jīng)安裝，wireshark沒有安裝

[root@wjq2 ~]# rpm -qa|grep wireshark

[root@wjq2 ~]# rpm -qa | grep tcpdump

tcpdump-4.0.0-3.20090921gitdf3cb4.2.el6.x86_64

3、使用yum安裝wireshark

[root@wjq2 tmp]# yum install wireshark* -y

[root@wjq2 tmp]# which tcpdump

/usr/sbin/tcpdump

[root@wjq2 tmp]# which wireshark

/usr/sbin/wireshark

4、下面對tcpdump命令的使用做一個(gè)詳細(xì)的說明

tcpdump的命令格式

tcpdump的參數(shù)眾多，通過man tcpdump或tcpdump -h可以查看tcpdump的詳細(xì)說明，這邊只列一些自己常用的參數(shù)：

[root@wjq2 tmp]# tcpdump -h

tcpdump version 4.1-PRE-CVS_2012_02_01

libpcap version 1.0.0

Usage: tcpdump [-aAdDefIKlLnNOpqRStuUvxX] [ -B size ] [ -c count ]

                [ -C file_size ] [ -E algo:secret ] [ -F file ] [ -G seconds ]

                [ -i interface ] [ -M secret ] [ -r file ]

                [ -s snaplen ] [ -T type ] [ -w file ] [ -W filecount ]

                [ -y datalinktype ] [ -z command ] [ -Z user ]

                [ expression ]

各參數(shù)說明如下：

-i：interface 監(jiān)聽的網(wǎng)卡。

-nn：表示以ip和port的方式顯示來源主機(jī)和目的主機(jī)，而不是用主機(jī)名和服務(wù)。

-A：以ascii的方式顯示數(shù)據(jù)包，抓取web數(shù)據(jù)時(shí)很有用。

-X：數(shù)據(jù)包將會以16進(jìn)制和ascii的方式顯示。

表達(dá)式：表達(dá)式有很多種，常見的有：host 主機(jī)；port 端口；src host 發(fā)包主機(jī)；dst host 收包主機(jī)。多個(gè)條件可以用and、or組合，取反可以使用。

下面是一些使用的例子

（1）不指定任何參數(shù)，監(jiān)聽第一塊網(wǎng)卡上經(jīng)過的數(shù)據(jù)包。主機(jī)上可能有不止一塊網(wǎng)卡，所以經(jīng)常需要指定網(wǎng)卡。

（2）監(jiān)聽特定網(wǎng)卡

（3）監(jiān)聽特定主機(jī)：監(jiān)聽本機(jī)跟主機(jī)10.1.1.123之間往來的通信包。

備注：出、入的包都會被監(jiān)聽。

tcpdump host 10.1.1.123

（4）特定來源、目標(biāo)地址的通信

特定來源

特定目標(biāo)地址

如果不指定src跟dst，那么來源 或者目標(biāo) 是hostname的通信都會被監(jiān)聽

（5）特定端口

（6）監(jiān)聽TCP/UDP

服務(wù)器上不同服務(wù)分別用了TCP、UDP作為傳輸層，假如只想監(jiān)聽TCP的數(shù)據(jù)包

tcpdump tcp

（7）來源主機(jī)+端口+TCP

A、監(jiān)聽來自主機(jī)123.207.116.169在端口22上的TCP數(shù)據(jù)包

B、監(jiān)聽特定主機(jī)之間的通信

C、210.27.48.1除了和210.27.48.2之外的主機(jī)之間的通信

（8）稍微詳細(xì)點(diǎn)的例子

說明：

tcp: ip icmp arp rarp 和 tcp、udp、icmp這些選項(xiàng)等都要放到第一個(gè)參數(shù)的位置，用來過濾數(shù)據(jù)報(bào)的類型

-i eth2 : 只抓經(jīng)過接口eth2的包

-t : 不顯示時(shí)間戳

-s 0 : 抓取數(shù)據(jù)包時(shí)默認(rèn)抓取長度為68字節(jié)。加上-S 0 后可以抓到完整的數(shù)據(jù)包

-c 100 : 只抓取100個(gè)數(shù)據(jù)包

dst port ! 22 : 不抓取目標(biāo)端口是22的數(shù)據(jù)包

src net 192.168.1.0/24 : 數(shù)據(jù)包的源網(wǎng)絡(luò)地址為192.168.1.0/24

-w ./target.cap : 保存成cap文件，方便用ethereal(即wireshark)分析

（9）限制抓包的數(shù)量

如下，抓到1000個(gè)包后，自動退出

（10）保存到本地

備注：tcpdump默認(rèn)會將輸出寫到緩沖區(qū)，只有緩沖區(qū)內(nèi)容達(dá)到一定的大小，或者tcpdump退出時(shí)，才會將輸出寫到本地磁盤

也可以加上-U強(qiáng)制立即寫到本地磁盤（一般不建議，性能相對較差）

（11）保存tcpdump抓包結(jié)果

[root@wjq2 tmp]# tcpdump -i eth0 -w eth0_dump.pcap

tcpdump: WARNING: eth0: no IPv4 address assigned

tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes

^C39 packets captured

39 packets received by filter

0 packets dropped by kernel

[root@wjq2 tmp]# ll -h eth0_dump.pcap

-rw-r--r-- 1 root root 3.4K Jan 18 11:19 eth0_dump.pcap

5、使用wireshark分析抓取的數(shù)據(jù)包：

[root@wjq2 tmp]# wireshark eth0_dump.pcap

上圖中標(biāo)出三快區(qū)域：

紅色框內(nèi)，是用來顯示簡單的數(shù)據(jù)包信息，用tcpdump抓包如時(shí)候，默認(rèn)情況是顯示成這樣的；

綠色框內(nèi)，是用來顯示選中的數(shù)據(jù)包的詳細(xì)信息，是按照TCP/IP四層結(jié)構(gòu)顯示的，第一行是數(shù)據(jù)鏈路層的信息，第二行是網(wǎng)絡(luò)層信息（IP協(xié)議），第三行是傳輸層信息（TCP協(xié)議），第四層是應(yīng)用層信息（HTTP協(xié)議），可以展開第一行用來觀察具體的內(nèi)容；

藍(lán)色框中，是用來顯示此數(shù)據(jù)包的真實(shí)面目。（下圖列更清楚一些）

關(guān)于Linux中如何使用wireshark分析tcpdump抓取的數(shù)據(jù)包就分享到這里了，希望以上內(nèi)容可以對大家有一定的幫助，可以學(xué)到更多知識。如果覺得文章不錯(cuò)，可以把它分享出去讓更多的人看到。