tcpdump与WireShark是Linux下的两个常用,功能强大的抓包工具,下面列出这两个工具的简单用法。
| tcpdump用法 |
tcpdump用法:
sudo tcpdump -i ens33 src 192.168.0.19 port 80 -xx -Xs 0 -w test.cap
sudo tcpdump -i ens33 src port 80 -xx -Xs 0 -w test.cap
参数说明:
-i: 指定网卡
src: 指明包的来源
port: 指明端口号
-xx: 指抓到的包以16进制显示
-X: 指以ASCII码显示
-s 0: 指明抓整个包
-w: 写到文件中
| WireShark过虑用法 |
【WireShark中的逻辑运算】
与: and 或 &&
或: or 或 ||
非: not 或!
WireShark中的判断语句
等于: eq 或 ==
大于: gt 或 >
小于: lt 或 <
大于等于: ge 或 >=
小于等于: le 或 <=
不等于: ne 或 !=
组合符(小括号)
()
包含与正由表达式匹配运算符
contains
matches
注意:matches 后的关键字是不区分大小写的,contains后面的关键字区分大小写。
【协议过滤】
在表达式输入框中输入协议名称即可。
注意:协议名称为小写,大写会报错
http
udp
tcp
arp
icmp
smtp
pop
dns
ip
ssl
ftp
telnet
ssh
rdp
rip
ospf
捕获多种协议,只需要对协议进行逻辑组合
http or udp
排除某种协议的数据包
not arp not tcp
【http域名与url过滤】
按内容长度过滤
http.content_length <= 100
http.content_length_header <= 100
针对数据包内容的过滤
匹配http请求中含有/api/member/health/check 的请求信息
http.request.uri matches "/api/member/health/check"
查询url中包含/api/member/home/test.html? 字符串的信息
http.request.uri contains "/api/member/home/test.html?"
按域名过滤
http.host == "jd.com" #精确过滤
http.host contains "jd.com" #模糊过虑
过滤请求的uri,取值是域名后的部分
http.request.uri=="/online/setpoint"
过滤完整的url
http.request.full_uri=="https://passport.jd.com/uc/login"
按http响应的状态过虑
http.response.code==302
http.response.code==401
过滤所有的http响应包
http.request==1
http.response==1
过滤所有请求方式为POST或GET的http请求包,注意POST或GET为大写
http.request.method==GET
http.request.method==POST
过滤含有指定cookie的http数据包
http.cookie contains userid
过滤http头中server字段含有nginx字符的数据包
http.server contains "nginx"
过滤content_type是text/html的http响应
http.content_type == "text/html"
过滤content_type是application/json的http响应
http.content_type == "application/json"
过滤content_encoding是gzip的http包
http.content_encoding == "gzip"
过滤所有含有http头中含有server字段的数据包
http.server
过滤HTTP/1.1版本的http包,包括请求和响应
http.request.version == "HTTP/1.1"
过滤http响应中的phrase
http.response.phrase == "OK"
【ip与端口过滤】
按目标地址过滤
ip.dst==192.168.0.19
按源地址过滤
ip.src==192.168.0.26
按目标地址或源地址过滤
ip.addr==192.168.0.19
按目标端口或源端口过滤
tcp.port==1935
udp.port==2365
按源端口过滤
tcp.srcport==2365
udp.srcport==2365
按目标端口过滤
tcp.dstport==1935
udp.dstport==1935
【数据过滤】
按包长度过滤
tcp.length < 300
udp.length < 300
过滤指定长度的udp数据包
udp.length == 20
过滤指定长度的tcp数据包
tcp.length == 20
过滤data部分长度为8的数据包
data.len==8
过滤指定内容的数据包
data.data == 00:08:30:03:00:00:00:00
【捕获经过指定ip的数据包】
抓取192.168.0.1 收到和发出的所有数据包
host 192.168.0.9
源地址192.168.0.1发出的所有数据包
src host 192.168.0.9
目标地址192.168.0.1收到的所有数据包
dst host 192.168.0.9
根据主机名过滤
src host hostnam
根据MAC地址过滤
ether host 80:05:09:03:E4:35
网络过滤,过滤整个网段
net 192.168.0
src net 192.168
dst net 192
【MAC地址过滤】
过滤目标或源地址是00:11:22:33:44:55的数据包
eth.addr== 00:11:22:33:44:55
过滤源地址是00:11:22:33:44:55的数据包
eth.src== 00:11:22:33:44:55
过滤目标地址是00:11:22:33:44:55的数据包
eth.dst== 00:11:22:33:44:55
【组合过滤】
捕获udp源端口等于3457,源ip等于3457,或者udp目标端口等于1091,目标ip等于192.168.0.10的数据包
(upd.srcport==3457 and ip.src=192.168.0.9) or (upd.dstport==1091 and ip.dst=192.168.0.10)
抓取所有目的网络是192.168,但目的主机不是192.168.0.2 的TCP数据
(tcp) and ((dst net 192.168) and (not dst host 192.168.0.2))
抓取所有目标MAC 地址是80:05:09:03:E4:35 的ICMP 数据
(icmp) and ((ether dst host 70:03:09:15:F4:12))
icmp && eth.dst==70:03:09:15:F4:12