网络嗅探,这个词听起来非常的高大上,不过它就是通过网络嗅探工具进行抓包分析。常用的工具我们也都听说过,如大名鼎鼎的wireshark和tcpdump。
这两个工具是搞C开发底层的研发人员的必备利器。许多搞运维的初级人员或者上层应用开发的童鞋与底层人员沟通时,底层开发人员来一句,你对xxxip来抓个包。咱们搞上层应用的人则一脸懵逼,怎么搞怎么抓。
我们首先对tcpdump抓包工具来熟悉一下, 熟悉之后,你会发现原来就是这么回事,也没多难。
一、指定网卡抓包
sudo tcpdump -i ens33 -vv
二、 将抓到的包保存到文件中
sudo tcpdump -i ens33 -vv -w ./test.pcap
sudo tcpdump -l > mylog & tail -f mylog
sudo tcpdump -i ens33 -vv -l > mylog & tail -f mylog
三、 指定主机--host
sudo tcpdump -i ens33 -vv host 192.168.26.33
四、 指定源主机或者目的主机: src dst
sudo tcpdump -i ens33 -vv src 192.168.26.33
sudo tcpdump -i ens33 -vv dst 192.168.26.33
五、 抓包时指定端口:port
sudo tcpdump -i ens33 -vv port 21
六、 抓包的时候指定协议
sudo tcpdump -i ens33 -vv icmp
sudo tcpdump -i ens33 -vv tcp
sudo tcpdump -i ens33 -vv arp
tcpdump抓到的包就可以使用wireshark进行分析
wireshark基本使用:
wireshark主要是通过一些过滤条件来定位包,从而分析问题
过滤条件:
使用协议: tcp udp
使用IP地址过滤: ip.src==xxxx ip.dst==xxxx ip.addr==xxxxx
使用端口过滤: tcp.port tcp.srcport tcp.dstport
可以使用逻辑运算符: or and !