2、Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可逗消能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。在山判知过去,网络封包分析软件是非常昂贵的,或是专门属于盈利用的软件。Ethereal的出现改变了这一切。在GNUGPL通用许可证的保障范围底下,使用者可以以免费的代价取得软件与其源代码,并拥有针对其源代码修改及客制化的权利。Ethereal是全世界最广泛的网络封包分析软件之一。
3、Wireshark不是入侵侦测系统(IntrusionDetectionSystem,IDS)。对于网络上的异常流量行为,Wireshark不会产生警示或是任何提示。然而,仔细分析Wireshark撷取的封包能够帮助使用者对于网络行为有更清楚的了解。Wireshark不会对网络封包产生内容的修改,它只会反映出流通的封包资讯。Wireshark本身也不会送出封包至网络上。
在CRT中进行抓包时和宴,所生成的.pcap文件默认保存在本地电脑上。如果您想将.pcap文件从CRT中下载到本地电脑上可按照以下步骤进行 *** 作:1. 在CRT中打开已经完成抓包的会话窗口。
2. 在CRT顶部的菜单栏中选择“转储”(Dump)选项。
3. 在d出的下拉菜单中,选择“转储数据包”(Dump Packets)。
4. 在d出的对话框中选择保存.pcap文件的路径和文件名,并点击“保存”(Save)按钮。
5. 等待CRT将.pcap文件保存到本地电脑上即可。
需要注意的是,因为.pcap文件包含网络数据包信息,会比较大,并且使用CRT进行抓包一般都是在调试或测试阶段使用唤枝银。因此,在保存.pcap文件前,您需要自己在本地电脑上安装相关的解析工具进行解析,才能查看网络数据包及其中搭陵的具体信息。
针对网络接口、端口和协议的数据包截取。假定你要截取网络接口eth1,端口号6881的tcp数据包。数据文件保存为test.pcap。tcpdump -w test.pcap -i eth1 tcp port 6881
很简单吧?如果要同时截取udp端口号33210和33220的数据包呢?
tcpdump -w test.pcap -i eth1 tcp port 6881 or udp \( 33210 or 33220 \)
'\'是转义字符,逻辑符号OR是加(+)的意思。其他表达式是截取端口号6881的tcp包加上端口号33210和33220的UDP包。tcpdump过滤表达式的and运算符是交集的意思,因此截取旦型端口号33210和33220的UDP包使用 or 而不是 and。and运算符的用法在下文描述。
怎样保存文件读取数据包呢?
tcpdump -nnr test.pcap
选项 -nn 不把网络IP和端口号转换成名字,r(read)读取包。
可以添加 -tttt 选项使时间戳格式更加可读。
tcpdump -ttttnnr test.pcap
怎样针此败对IP截取数据?
需向tcpdump指明IP类型,目的IP还是源IP?比如要嗅探的目的IP为10.168.28.22,tcp端口号22。
tcpdump -w test.pcap dst 10.168.28.22 and tcp port 22
目的IP和端口的交集(intersection),使用and运算符。
嗅探数据包大小缺模扒猜省为96 bytes,可以指定 -s 改变缺省值。
tcpdump -w test.pcap -s 1550 dst 10.168.28.22 and tcp port 22
有些版本的tcpdump允许指定端口范围,下述指令为针对一定端口范围截取数据。
tcpdump tcp portrange 20-24
注意,上述指令没有指定 -w 把截取的数据包保存到文件而是直接输出到屏幕。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)