返回
wireshark数据包分析说明

wireshark数据包分析说明

ID:44906135

大小:2.05 MB

页数:33页

时间:2019-11-04

wireshark数据包分析说明_第1页
wireshark数据包分析说明_第2页
wireshark数据包分析说明_第3页
wireshark数据包分析说明_第4页
wireshark数据包分析说明_第5页
资源描述:

《wireshark数据包分析说明》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、数据包分析简介WireShark目录Contents第1章Linux上抓包与分析第2章Windows抓包方法第3章Wireshark进行数据包分析TCPdump命令介绍顾名思义,tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。常用选项介绍-c:在收到指定的数量的分组后,tcpdump就会停止;-f:将外部的Internet地址以数字的形式打印出来;-i:指定监听的网络接口;-n:不把网络地址转换成名字;-nn:不进行端口名称的转换;-s:从每

2、个分组中读取最开始的snaplen个字节,而不是默认的68个字节;-w:直接将分组写入文件中,而不是不分析并打印出来;-v:输出一个稍微详细的信息,例如在ip包中可以包括ttl和服务类型的信息;-vv:输出详细的报文信息;-x:可以列出十六进制(hex)以及ASCII的封包内容,对于监听封包内容很有用;TCPdump表达式介绍常用表达式介绍第一种是关于类型的关键字,主要包括host,net,port,例如host210.27.48.2,指明210.27.48.2是一台主机,net202.0.0.0指明202.0.0.0是一个网络地址,port23指明端口号是23。如果

3、没有指定类型,缺省的类型是host。第二种是确定传输方向的关键字,主要包括src,dst,dstorsrc,dstandsrc,这些关键字指明了传输的方向。举例说明,src210.27.48.2,指明ip包中源地址是210.27.48.2,dstnet202.0.0.0指明目的网络地址是202.0.0.0。如果没有指明方向关键字,则缺省是srcordst关键字。第三种是协议的关键字,主要包括fddi,ip,arp,rarp,tcp,udp等类型。Fddi指明是在FDDI(分布式光纤数据接口网络)上的特定的网络协议,实际上它是”ether”的别名,fddi和ether具

4、有类似的源地址和目的地址,所以可以将fddi协议包当作ether的包进行处理和分析。其他的几个关键字就是指明了监听的包的协议内容。如果没有指定任何协议,则tcpdump将会监听所有协议的信息包。除了这三种类型的关键字之外,其他重要的关键字如下:gateway,broadcast,less,greater,还有三种逻辑运算,取非运算是‘not''!‘,与运算是’and’,’&&';或运算是’or’,’||’;这些关键字可以组合起来构成强大的组合条件来满足人们的需要。TCPdump应用举例在应用中往往需要截获整个包的长度,避免域名解析后的结果不直观,保

5、存抓包文件但同时在过程中也想知道实时状态,因此下面的例子都以这个条件为前提。1.截获10.0.2.6收到和发出的数据包。tcpdump-iany-xns0host10.0.2.6-wmyhost.cap-vv2.截获8080端口的数据包。tcpdump-iany-xns0port8080-wmyhost.cap-vv3.截获10.0.2.6和10.0.5.227之间的数据包。tcpdump-iany-xns0host10.0.2.6and10.0.5.227-whosts.cap-vv4.截获10.0.2.0/24这个网段的数据包tcpdump-iany-xns0ne

6、t10.0.2.0/24-wmynet.cap-vv5.截获10.0.2.6发给10.0.5.227的数据包tcpdump-iany-xns0src10.0.2.6anddst10.0.5.227-wrequest.cap-vvTCPdump应用举例6.截获10.0.2.6发给10.0.5.227的8080端口的数据包tcpdump-iany-xns0src10.0.2.6anddst10.0.5.227andport8080-wrequest.cap-vv7.截获10.0.2.6发的100个数据包tcpdump-iany-xns0-c100src10.0.2.6-w

7、request100.cap-vv8.截获10.0.2.6发来的icmp包tcpdump-iany-xns0src10.0.2.6andicmp-wping.cap-vv9.截获主机10.0.5.227与10.0.5.231和10.0.5.234之间的数据包tcpdump-iany–xns0host10.0.5.227and10.0.5.231or10.0.5.234-w2.cap-vv在linux上查看抓包文件一般情况,都会将文件下载到Windows电脑上进行分析查看,但是有时候只需要获取其中一点需要的信息,也可以在linux上查看。一般http协

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。