1.WireShark重点
抓包前:
- 网卡选择必选
- 报文数量(分组) 实时显示一般要指定抓包数量,不需要实时查看的情况下可以关闭实时显示,都可以节省资源,防止流量过载导致软件和系统崩溃。
- 重点掌握的过滤式:
基于地址的:host www.qq.com 或host 2.3.4.5
基于mac: ether host 00:00:5e:00:53:00
基于协议的:tcp udp icmp dns ftp arp...
基于端口:tcp port 80 源端口tcp src port 80 目的端口tcp dst port 80
udp port 123 源端口udp src port 123 目的端口udp dst port 123
抓包后:
- 基于地址的:ip.addr == 2.3.4.5 或ip.addr eq 2.3.4.5 源IP ip.src eq 2.3.4.5 目的IP ip.dst eq 2.3.4.5
- 基于mac: eth.addr == 00:00:5e:00:53:00
- 基于协议的:tcp udp icmp dns ftp arp ...
- 基于端口:tcp.port == 80 源端口tcp.srcport eq 3306 目的端口tcp.dstport eq 3389 udp.port eq 53 源端口udp.srcport eq 53 目的端口udp.dstport eq 53
- 基于TCP 标志位的:syn syn_ack ack fin fin_ack rst psh_ack syn:tcp.flags eq 0x002 psh_ack:tcp.flags eq 0x018
- 基于报文内容的:data.data //查看数据载荷 http.request //查看HTTP 请求 http.request.method eq POST //查看HTTP 请求的post 方法
- 基于报文长度的:data.len > >= == 比如: data.len >=1400
-
多个过滤式组合使用与或非
与:and && 比如筛选2.2.2.2 的tcp1433 端口: ip.addr eq 2.2.2.2 and tcp.port eq 1433
或:or || 比如筛选1.1.1.1 或2.2.2.2 的数据包: ip.addr eq 1.1.1.1 or ip.addr eq 2.2.2.2
非:! 比如去掉arp 报文: !arp
2.tcpdump
用于linux 系统上报文捕捉
检查是否安装:rpm -qa | grep tcpdump
安装:centos 系统:yum install -y tcpdump
Ubuntu 系统:apt-get install tcpdump
报文捕捉:
常用参数:
- -i 指定接口
- -c 指定报文数量
- -w 指定写入位置举例:tcpdump -i eth0 -c 5000 -w /tmp/20190511.cap
抓完以后使用winscp 连接linux 服务器取回数据包,再用wireshark 进行数据分析