鲨鱼 抓包 oracle,ubuntu下网络抓包工具wireshark tcpdump的使用 -凯发k8官方网
需要以下几个步骤,
1.安装,sudo apt-get install wireshark
2.运行,sudo wireshark。注意:抓包需要root权限。
3.
4.点击file下面的那个图标,列出当前活动的网卡,选择你需要监控的网卡,点击start就开始抓包了。
5.监控界面
6.在filter中可以编辑一些规则来过滤掉我们不需要的包类型,只留下我们关心的数据包。
今天在一哥们的ubuntu虚拟机上装wireshark怎么都搞不定,只好把这个命令行的东西再拿出来了……
—–
ubuntu默认是安装好了tcpdump工具的,如果没有安装的话使用sudo apt-get install tcpdump即可下载安装。
(如果遇到tcpdump: no suitable device found的问题,检查一下是不是在用root权限下
安装好tcpdump之后,运行tcpdump:
1. tcpdump -d 获取网络适配器列表,以下是在ubuntu上获取到的结果:
root@holmesian-laptop:~# tcpdump -d
1.eth0
2.wlan0
3.usbmon1 (usb bus number 1)
4.usbmon2 (usb bus number 2)
5.usbmon3 (usb bus number 3)
6.
7.usbmon5 (usb bus number 5)
8.any (pseudo-device that captures on all interfaces)
9.lo
2. tcpdump -i 需要监控的网络适配器编号,例如我想监控我的无线网卡wlan0,则使用tcpdump -i 2。
root@holmesian-laptop:~# tcpdump -i 2
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on wlan0, link-type en10mb (ethernet), capture size 96 bytes
21:24:14.578430 00:24:f9:05:78:00 (oui unknown) unknown ssap 0x78 00:1f:3a:18:fa:06 (oui unknown) unknown dsap 0xd8 inform
21:24:14.578447 00:24:f9:05:78:00 (oui unknown) unknown ssap 0x78 00:1f:3a:18:fa:06 (oui unknown) unknown dsap 0xd8 information, send seq 0, rcv seq 16, flags [command], length 223
21:24:14.995603 00:24:f9:05:78:00 (oui unknown) unknown ssap 0x20 78:dd:08:d1:b2:ca (oui unknown) unknown dsap 0x76 information, send seq 0, rcv seq 16, flags [
21:24:15.019811 00:24:f9:05:78:00 (oui unknown) unknown ssap 0xa6 2c:81:58:ec:9c:54 (oui unknown) unknown dsap 0x0a information, send seq 0, rcv seq 16, flags [command], length 72
如果不使用-i来定义监控适配器的话,默认使用列表中的第一个;
3. 使用无线网卡wlan0监控ip地址为172.16.86.111上443端口的tcp协议:
tcpdump -i 2 host 172.16.86.111 and tcp port 443
4. 如果想要显示数据包的内容,需要使用-x参数,如,我想要显示捕获的https数据包http header的内容:
tcpdump -x -i 2 host 172.16.86.111 and tcp port 443
显示结果如下:
21:27:53.662741 ip holmesian-laptop.local.44239 172.16.86.111.https: flags [s], seq 24296623, win 5840, options [mss 1460,sackok,ts val 153804 ecr 0,nop,wscale 6], length 0
0x0000: 4500 003c e463 4000 4006 514a ac10 567e e…c@.@.qj..v~
0x0010: ac10 566f accf 01bb 0172 bcaf 0000 0000 ..vo…..r……
0x0020: a002 16d0 66a8 0000 0204 05b4 0402 080a ….f………..
0x0030: 0002 58cc 0000 0000 0103 0306 ..x………
21:27:56.660488 ip holmesian-laptop.local.44239 172.16.86.111.https: flags [s], seq 24296623, win 5840, options [mss 1460,sackok,ts val 154554 ecr 0,nop,wscale 6], length 0
0x0000: 4500 003c e464 4000 4006 5149 ac10 567e e…d@.@.qi..v~
0x0010: ac10 566f accf 01bb 0172 bcaf 0000 0000 ..vo…..r……
0x0020: a002 16d0 63ba 0000 0204 05b4 0402 080a ….c………..
0x0030: 0002 5bba 0000 0000 0103 0306 ..[………
.c
可以看到该结果只显示了https头的一部分,没有显示全,是因为tcpdump默认将显示的数据长度截断了,可以使用-s后面加数据长度,来设置数据显示长度:
tcpdump -x -s 0 -i 2 host 172.16.86.111 and tcp port 443
以上的例子中,-s 0 表示自动设置长度使其能够显示所有数据。
5. 捕获的数据太多,不断刷屏,可能需要将数据内容记录到文件里,需要使用-w参数:
tcpdump -x -s 0 -w aaa host 192.9.200.59 and tcp port 8000
则将之前显示在屏幕中的内容,写入tcpdump可执行文件同级目录下的aaa文件中。
文件查看方式如下,需要使用-r参数:
tcpdump -x -s 0 -i 2 -r holmesian host 172.16.86.111 and tcp port 443
如果这样写:
tcpdump -r holmesian
则只能看到最简
6.总结
总结一下,tcpdump的参数分两个部分,选项(options)和表达式(expression):
root@holmesian-laptop:~# tcpdump -h
tcpdump version 4.0.0
libpcap version 1.0.0
usage: tcpdump [-aaddefikllnnopqrstuuvxx] [ -b size ] [ -c count ]
[ -c file_size ] [ -e algo:secret ] [ -f file ] [ -g seconds ]
[ -i interface ] [ -m secret ] [ -r file ]
[ -s snaplen ] [ -t type ] [ -w file ] [ -w filecount ]
[ -y datalinktype ] [ -z command ] [ -z user ]
[ expression ]
总结
以上是凯发k8官方网为你收集整理的鲨鱼 抓包 oracle,ubuntu下网络抓包工具wireshark tcpdump的使用的全部内容,希望文章能够帮你解决所遇到的问题。
- 上一篇:
- 下一篇: