Linux使用tcpdump命令抓包并使用wireshark分析

藍(lán)隊(duì)云小課堂：

使用tcpdump抓包并使用 Wireshark分析網(wǎng)絡(luò)流量是一項(xiàng)重要的網(wǎng)絡(luò)管理和故障排除技能。以下是一個(gè)簡(jiǎn)單的步驟。

抓包

安裝 tcpdump

在大多數(shù)Linux發(fā)行版上，您可以使用包管理器安裝tcpdump。

例如，在基于Debian的系統(tǒng)上：

sudo apt-get install tcpdump

在基于Red Hat的系統(tǒng)上：

sudo yum install tcpdump

使用 tcpdump 抓包

要抓取所有接口的流量，可以使用以下命令：

sudo tcpdump -i any -w capture.pcap

-i any 表示監(jiān)聽所有網(wǎng)絡(luò)接口。

-w capture.pcap表示將抓到的數(shù)據(jù)保存到capture.pcap文件中。

如果只想抓取特定接口（例如eth0），可以指定接口名稱：

sudo tcpdump -i eth0 -w capture.pcap

要抓取特定端口的數(shù)據(jù)包（例如HTTP端口80），可以使用過(guò)濾器：

sudo tcpdump -i eth0 port 80 -w capture.pcap

捕獲指定數(shù)量的數(shù)據(jù)包

您可以使用 -c選項(xiàng)來(lái)限制捕獲的數(shù)據(jù)包數(shù)量：

sudo tcpdump -i eth0 -c 100 -w capture.pcap

實(shí)時(shí)查看抓包數(shù)據(jù)

如果希望在抓包過(guò)程中實(shí)時(shí)查看數(shù)據(jù)，可以不使用-w選項(xiàng)，而是直接在終端輸出：

sudo tcpdump -i eth0

使用 Wireshark 分析抓包數(shù)據(jù)

安裝 Wireshark

在大多數(shù)Linux發(fā)行版上，可以使用包管理器安裝Wireshark。例如，在基于Debian的系統(tǒng)上：

sudo apt-get install wireshark

在基于Red Hat的系統(tǒng)上：

sudo yum install wireshark

打開抓包文件

啟動(dòng)Wireshark，然后打開tcpdump生成的capture.pcap文件?？梢酝ㄟ^(guò)Wireshark的菜單 File > Open來(lái)打開文件。

基本分析步驟

?過(guò)濾數(shù)據(jù)包：使用Wireshark的顯示過(guò)濾器來(lái)篩選感興趣的數(shù)據(jù)包。例如，過(guò)濾HTTP流量：

http

?查看會(huì)話：使用 Statistics > Conversations 查看 TCP 會(huì)話，了解主機(jī)之間的通信情況。

?分析特定流量：右鍵點(diǎn)擊某個(gè)感興趣的數(shù)據(jù)包，選擇 Follow > TCP Stream 或 Follow > UDP Stream，可以查看特定會(huì)話的全部數(shù)據(jù)包。

?檢查錯(cuò)誤和異常：使用Statistics > Protocol Hierarchy查看協(xié)議分布，識(shí)別異常流量。使用Analyze > Expert Information查看分析專家信息，以識(shí)別可能的錯(cuò)誤和異常。

解讀常見(jiàn)場(chǎng)景

?HTTP請(qǐng)求與響應(yīng)：在HTTP流量中，可以查看請(qǐng)求方法（如GET、POST）、URL、響應(yīng)狀態(tài)碼（如200、404）、內(nèi)容類型等。

?DNS查詢與響應(yīng)：在DNS流量中，可以查看域名查詢和響應(yīng)的IP地址，識(shí)別解析時(shí)間和可能的解析失敗。

?TCP握手與關(guān)閉：查看TCP握手過(guò)程（SYN、SYN-ACK、ACK）和連接關(guān)閉過(guò)程（FIN、ACK），識(shí)別重傳和連接超時(shí)問(wèn)題。

?SSL/TLS握手：在HTTPS流量中，可以查看SSL/TLS握手過(guò)程，識(shí)別加密協(xié)議和證書信息。

更多小知識(shí)，可聯(lián)系藍(lán)隊(duì)云一起探討。