文章目录

一、Wireshark
- 1. 安装wireshark工具
- 2.打开Wireshark
- 3. Wireshark基本使用
- 4. 抓包信息
- - 1. 抓ping程序包
  - - 请求信息
    - 响应信息
    - ARP协议
  - 2. 抓TCP三次握手、四次挥手
  - - 三次握手
    - 四次挥手
- 3.抓telnet包
- - 安装 telnet
  - 用 Woreshark抓包
二、tcpdump工具
- 1. 查看arp缓存
- 2. tcpdump基本使用
- - 抓 ping包
  - 保存抓包数据到指定文件
  - 其它用法

一、Wireshark

Wireshark是一款图形化的抓包软件，在LInux和Windows下都可以下载。

1. 安装wireshark工具

用命令安装 wireshark相关软件包
命令：yum -y install wireshark* -y

rpm -ql wireshark查看安装wireshark产生了哪些文件

2.打开Wireshark

直接通过命令打开
wireshark

或者是图形化页面点开就好

3. Wireshark基本使用

点击Interface List，就可以看到接口列表，选择需要抓哪个网卡的包

这里我选择ens33网卡，点击start开始抓包

我们ping我们的主机地址，看看抓包情况

ping 工具使用的就是 ICMP协议，ICMP是IP协议的附属协议。IP层用它来与其他主机或路由器交换错误报文和其他重要信息。它主要是用来提供有关通向目的地址的路径信息。

4. 抓包信息

通过 ip.addr == [端口号]可以过滤掉无关ip

1. 抓ping程序包

请求信息

数据帧

链路层

网络层

应用层

响应信息

因为是ping的响应，要响应给windows，所以源变成了LInux本机，目的变成了windows。
接着是协议类型，ping的请求是8，响应变成了0

ARP协议

2. 抓TCP三次握手、四次挥手

三次握手

通过 Xshell连接Linux虚拟机

四次挥手

3.抓telnet包

安装 telnet

telnet是和ssh类似的，都是用来远程登录Linux服务器，ssh的端口号是22,telnet的端口号是23

安装命令：yum -y install telnet-server

安装完后要启动服务

命令：systemctl start telnet.socket

查看是否有telnet服务的端口号
命令：netstat -nltp | grep :23

查看该应用产生哪些文件

测试telnet
测试时记得开发23端口或者关闭防火墙
关闭防火墙命令：systemctl stop firewalld
添加端口号：firewall-cmd --zone=public --add-port=[端口号]
注意：telnet 默认是不允许root用户登录的，只能登录普通用户

用 Woreshark抓包

抓包后发现，telnet传输的是明文数据。仔细找还能看到密码，所以这个命令基本是被淘汰了

二、tcpdump工具

tcpdump是 Linux下的抓包工具，但它是命令行的操作。用起来没有Wireshark方便

ARP：（地址解析协议IP-MAC）和RARP（逆地址解析协议MAC-IP）是某些网络接口（如以太网）使用的特殊协议，用来转换IP层和网络接口层使用的地址下层协议给上层协议提供了一些功能支撑，上层协议要依赖下层协议

1. 查看arp缓存

命令：arp -n
作用：查看arp缓存

arp缓存里记录了，我的主机曾经向拿台主机要过MAC地址

删除arp缓存
命令：arp -d [ip]

2. tcpdump基本使用

常用语法：tcpdump -i [网卡名] -nn host [主机ip]

-i ：指定网络接口，对于多个网络接口有用
-n ：显示IP地址，不查主机名。当DNS不起作用时常用到这个参数
-nn ：不显示协议和端口名。即显示IP地址和端口

抓 ping包

每次询问的MAC地址都会保存到，arp缓存里

保存抓包数据到指定文件

通过 -w 选项可以将抓包数据保存到指定文件里，再通过Woreshark打开

命令：tcpdump -i [网卡名] -nn host [主机ip] -w [文件名]

找到保存抓包信息的文件，打开

其它用法

下面的命令可以查看所有送到主机hostname的数据包
tcpdump -i eth0 dst host [主机ip]

Linux抓包（wireshark+tcpdump）相关推荐

【网络知识】4. linux抓包工具tcpdump的使用
linux抓包工具tcpdump的使用 linux可视化抓包工具可以使用wireshark,对于不能可视化的,还是得使用tcpdump tcpdump -h # 查看用法最简单的用法: tcpdum ...
Linux抓包工具tcpdump使用小结
Linux抓包工具tcpdump使用小结简介及安装 tcpdump命令详解 tcpdump参数 tcpdump表达式 tcpdump 命令演示常用抓包命令组合 tcpdump抓包实测理解抓取的报 ...
linux5.8抓包,Linux 抓包工具 tcpdump
Linux 抓包工具 tcpdump 1.概述用简单的话来定义tcpdump,就是:dump the traffic on a network,根据使用者的定义对网络上的数据包进行截获的包分析工具. ...
linux抓网卡数据包命令,Linux抓包命令tcpdump命令图解
原标题:Linux抓包命令tcpdump命令图解 tcpdump命令-->用来将网络中传送的数据包的"头"完全截获下来提供分析,常见的有Wireshark.在Linux中输入 ...
Linux抓包工具tcpdump命令详解
1.简介用简单的话来定义tcpdump,就是:dump the traffic on a network,根据使用者的定义对网络上的数据包进行截获的包分析工具. tcpdump可以将网络中 ...
超级详细的Linux抓包工具tcpdump详解！
简介 tcpdump 是Linux下一款命令行抓包程序,使用 tcpdump 之前,可以先看一下它提供的帮助. tcpdump 官方文档手册:https://www.tcpdump.org/manpa ...
Linux抓包工具tcpdump详解
原文链接 tcpdump是一个用于截取网络分组,并输出分组内容的工具,简单说就是数据包抓包工具.tcpdump凭借强大的功能和灵活的截取策略,使其成为Linux系统下用于网络分析和问题排查的首选工具. ...
Linux抓包工具tcpdump例子
一.什么是tcpdump tcpdump是Linux系统上最常用的抓包工具,用来抓取网络通信中的数据包,并进行分析. 另外,因为大多数网络安全设备(如防火墙)底层系统也是Linux,所以各种网络安全设 ...
你不知道的linux抓包神器—— tcpdump
[好文推荐] 需要多久才能看完linux内核源码? 概述Linux内核驱动之GPIO子系统API接口一篇长文叙述Linux内核虚拟地址空间的基本概括 tcpdump介绍 tcpdump 是一款强大的 ...
Linux统计进程网络,查看磁盘io、内存free、系统进程ps、网络状态netstat、Linux抓包tcpdump...
查看磁盘io性能状态 iostat -x 查看磁盘使用(安装包与sar的安装包一起) 主要查看%util [root@shu-test ~]# iostat -x Linux 3.10.0-693.e ...

Linux抓包（wireshark+tcpdump）