wireshark与tcpdump使用 – 作者:chenhh

wireshark

过滤器分为抓包过滤器和显示过滤器

抓包过滤器配置于抓包前,配置后,只抓经过抓包过滤器过滤的包
显示过滤器配置于抓包后,配置后,将已抓取的包进行过滤,得出心仪的包

抓包过滤器

只抓取以太网类型为0x0800的流量   ether proto 0800
只抓vlan 10 的流量  vlan 10
抓 vlan 10 、vlan 20 、 vlan 30 的流量  vlan 10 and vlan 20 and 30
只抓发往主机10.1.1.1的所有流量  dest host 10.1.1.1
只抓源于192.168.1.0/24的所以流量  src net 192.168.1.0/24 或src net 192.168.1.0 netmask 255.255.255.0
不抓广播或多播  no broadcast 或 no multicast
只抓源于或发往2001::/16的ipv6数据包  net 2001::/16
只抓取icmp流量  ip proto 1
只抓ICMP echo request 流量 icmp[icmptype]==icmp-echo或icmp[icmptype]==8
只抓目的端口为80的数据包 dst port 80 或 dst port http
只抓所有TCP连接中用来发起(SYN标记位置1)连接或终止链接(FIN标记位置1)的数据包(TCP连接属于全双工连接,客户端与服务器之间会建立双向连接  tcp [tcpflags] & (tcp-syn | tcp-fin) != 0
只抓RST标记位置1的TCP数据包  [tcpflags]&(tcp-rst) !=0
抓特定长度的包,长度小于10  len<= 10
只抓源或目的端口范围在2000到2500之间的TCP数据包  tcp portrange 2000-2500
抓取所以TELNET流量,但由主机192.168.1.1发起的除外  tcp port 23 and not src host 192.168.1.1
proto[offset:bytes]  根据字节偏移和净载匹配来过滤
proto(协议类型:ip\udp\tcp等)
只抓目的端口范围为50-100的TCP数据包  tcp[2:2]>50 and tcp[2:2]<100
只抓窗口大小字段值低于8192的TCP数据包  tcp[14:2]<8192
ipv4多播流量:以太网帧的目的MAC地址必以01:00:5e打头
ipv6多播流量:以太网帧的目的MAC地址必以33:33打头

显示过滤器

包含某个(串)字符 contains  //http.host contains cisco
某串字符匹配某个条件 match   //http.host matches www.cisco.com
在参数和条件操作符之间可以留空格,也可以不留空格
源和目的IP地址至少一个不为 192.168.1.100   // ip.addr != 192.168.1.100
源和目的ip地址均不为 192.168.1.100   //!(ip.addr == 192.168.1.100)
ETHERNET过滤器:只显示发往或源于具有某MAC地址的主机的数据帧   //eth.src==10:0b:a9:33:64:12
ARP过滤器:只显示请求帧   //arp.opcode==1
IP、ICMP过滤器   //ip.src == 10.1.1.1
只显示交换与一一对IP主机之间的所有IP数据包   //ip.addr==200.1.1.1 and ip.addr==19.168.1.1
只显示发往IP多播目的地址的所有数据包   //ip.dse == 224.0.0.0/4
只显示发往或源于某个IPV6地址的主机的IPV6数据包   //ipv6.addr==::1
显示指定IP子网(10.0.0.0/24)的主机,发往域名中包含指定字符串的网站(比如sohu)的所有IP流量   //ip.src==10.0.0.0/24 and http.host contains “souhu”
显示发源于指定IP子网(10.0.0.0/24)的所有IP广播流量   //ip.src==10.0.0.0/24 and eth.dst==ffff.ffff.ffff
只显示是所有广播包,但主机执行ARP请求操作时所触发的广播包除外   //not arp and eth.dst==ffff.ffff.ffff
显示除ICMP和ARP外所有流量   //not arp && not icmp
根据TCP/UDP端口来筛选包   //tcp.port == <value>//udp.srcport==<value>
tcp.analysis:分析TCP重传、重复确认、窗口大小、
tcp.analysis.retransmission
tcp.analysis.duplicate_ack
tcp.analysis.zero_window
tcp.flags:检查数据包TCP头部中各标记位的置位情况
tcp.flags.syn==1
tcp.flags.reset==1
tcp.flags.fin==1
tcp.window_size_value<10 //检查头部窗口大小字段值低于10的数据包
HTTP显示过滤器:
显示访问某指定主机名的HTTP协议数据包  //http.host==”www.baidu.com”
显示包含HTTP GET方法的HTTP数据包   //http.request.method==”GET”
显示HTTP客户端发起的包含指定URI请求的HTTP数据包 // http.request.uri == “/v2/rating/mail.goole.com”
显示包含字符串:”mail.google.com”的URI请求的HTTP数据包   //http.request.uri contains “mail.google.com”
显示网络中传播的所有包含COOKIE请求的HTTP协议数据包   //http.cookie
显示所有包含HTTP服务器发送给HTTP客户的COOLIE SET命令的HTTP数据包   //http.set_cookie
显示包含ZIP文件中的HTTP数据包   //http matches “.zip” && http.request.method==”GET”
DNS显示过滤器:
dns.flags.response==0  //DNS查询
dns.flags.response==1   //DNS响应
FTP过滤器:
显示所有包含特定FTP请求命令的FTP数据包  //ftp
显示所有从TCP端口20或从其他端口发出的包含实际FTP数据的FTP数据包  //ftp-data

tcpdump

相关选项

-D:列出可用于抓包的接口。将会列出接口的数值编号和接口名,它们都可以用于”-i”后。
-i interface:指定tcpdump需要监听的接口。
-c:指定要抓取的包数量。
-s:指定要监听数据包的长度。
-n:对地址以数字方式显式,否则显式为主机名,也就是说-n选项不做主机名解析。
-nn:除了-n的作用外,还把端口显示为数值,否则显示端口服务名。
-w:将抓包数据输出到文件中。可以同时配合”-G time”选项使得输出文件每time秒就自动切换到另一个文件。可通过”-r”选项载入这些文件以进行分析和打印。
-C:用于判断用 -w 选项将报文写入文件的大小是否超过这个值,超过了就新建文件(文件名后缀是1、2、3依次增加)。
-P:指定要抓取的包是流入还是流出的包。可以给定的值为”in”、”out”和”inout”,默认为”inout”。
-p:不让网络界面进入混杂模式。
-e:输出的每行中都将包括数据链路层头部信息,例如源MAC和目标MAC。
-X:输出包的头部数据,会以16进制和ASCII两种方式同时输出。
-XX:输出包的头部数据,会以16进制和ASCII两种方式同时输出,更详细。
-vvv:当分析和打印的时候,产生详细的输出。
-q:快速打印输出。即打印很少的协议相关信息,从而输出行都比较简短。
-tttt:加入时间戳。

类型关键字

   指定主机  host 192.168.1.111
指定网络地址  net 202.0.0.0
指定端口  port 8080

方向关键字

src 192.168.1.111,ip包源地址是192.168.1.111
det 192.168.1.112,ip包目标地址是192.168.1.112
src or dst
src and dst

协议关键字

fddi、tcp、udp、rarp、arp、http等

其他关键字

gateway(抓取指定网关的数据包)、broadcast、less、greater(非运算 ‘not ‘ ‘! ‘, 与运算’and’,’&&’;或运算 ‘or’ ,’||’;)

混杂模式

混杂模式就是接收所有经过网卡的数据包,包括不是发给本机的包。默认情况下网卡只把发给本机的包(包括广播包)传递给上层程序,其它的包一律丢弃。简单的讲,混杂模式就是指网卡能接受所有通过它的数据流,不管是什么格式,什么地址的。事实上,计算机收到数据包后,由网络层进行判断,确定是递交上层(传输层),还是丢弃,还是递交下层(数据链路层、MAC子层)转发
查看当前网卡是否为混杂模式:#ifconfig eth0
开启: # ifconfig eth0 promisc
关闭: # ifconfig eth0 -promisc

来源:freebuf.com 2021-05-15 13:56:07 by: chenhh

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论