Linux使用tcpdump命令抓包并使用wireshark分析

藍(lán)隊(duì)云小課堂：

使用tcpdump抓包并使用 Wireshark分析網(wǎng)絡(luò)流量是一項(xiàng)重要的網(wǎng)絡(luò)管理和故障排除技能。以下是一個簡單的步驟。

抓包

安裝 tcpdump

在大多數(shù)Linux發(fā)行版上，您可以使用包管理器安裝tcpdump。

例如，在基于Debian的系統(tǒng)上：

sudo apt-get install tcpdump

在基于Red Hat的系統(tǒng)上：

sudo yum install tcpdump

使用 tcpdump 抓包

要抓取所有接口的流量，可以使用以下命令：

sudo tcpdump -i any -w capture.pcap

-i any 表示監(jiān)聽所有網(wǎng)絡(luò)接口。

-w capture.pcap表示將抓到的數(shù)據(jù)保存到capture.pcap文件中。

如果只想抓取特定接口（例如eth0），可以指定接口名稱：

sudo tcpdump -i eth0 -w capture.pcap

要抓取特定端口的數(shù)據(jù)包（例如HTTP端口80），可以使用過濾器：

sudo tcpdump -i eth0 port 80 -w capture.pcap

捕獲指定數(shù)量的數(shù)據(jù)包

您可以使用 -c選項(xiàng)來限制捕獲的數(shù)據(jù)包數(shù)量：

sudo tcpdump -i eth0 -c 100 -w capture.pcap

實(shí)時查看抓包數(shù)據(jù)

如果希望在抓包過程中實(shí)時查看數(shù)據(jù)，可以不使用-w選項(xiàng)，而是直接在終端輸出：

sudo tcpdump -i eth0

使用 Wireshark 分析抓包數(shù)據(jù)

安裝 Wireshark

在大多數(shù)Linux發(fā)行版上，可以使用包管理器安裝Wireshark。例如，在基于Debian的系統(tǒng)上：

sudo apt-get install wireshark

在基于Red Hat的系統(tǒng)上：

sudo yum install wireshark

打開抓包文件

啟動Wireshark，然后打開tcpdump生成的capture.pcap文件?？梢酝ㄟ^Wireshark的菜單 File > Open來打開文件。

基本分析步驟

?過濾數(shù)據(jù)包：使用Wireshark的顯示過濾器來篩選感興趣的數(shù)據(jù)包。例如，過濾HTTP流量：

http

?查看會話：使用 Statistics > Conversations 查看 TCP 會話，了解主機(jī)之間的通信情況。

?分析特定流量：右鍵點(diǎn)擊某個感興趣的數(shù)據(jù)包，選擇 Follow > TCP Stream 或 Follow > UDP Stream，可以查看特定會話的全部數(shù)據(jù)包。

?檢查錯誤和異常：使用Statistics > Protocol Hierarchy查看協(xié)議分布，識別異常流量。使用Analyze > Expert Information查看分析專家信息，以識別可能的錯誤和異常。

解讀常見場景

?HTTP請求與響應(yīng)：在HTTP流量中，可以查看請求方法（如GET、POST）、URL、響應(yīng)狀態(tài)碼（如200、404）、內(nèi)容類型等。

?DNS查詢與響應(yīng)：在DNS流量中，可以查看域名查詢和響應(yīng)的IP地址，識別解析時間和可能的解析失敗。

?TCP握手與關(guān)閉：查看TCP握手過程（SYN、SYN-ACK、ACK）和連接關(guān)閉過程（FIN、ACK），識別重傳和連接超時問題。

?SSL/TLS握手：在HTTPS流量中，可以查看SSL/TLS握手過程，識別加密協(xié)議和證書信息。

更多小知識，可聯(lián)系藍(lán)隊(duì)云一起探討。