Wireshark和tcpdump抓包工具的使用说明

Posted talk.push

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Wireshark和tcpdump抓包工具的使用说明相关的知识,希望对你有一定的参考价值。

抓包工具

WireShark

工具栏

过滤器

时间格式

报文层

报文标识


tcpdump

常规选项

  • -D 列举所有网卡设备如:tcpdump -D
  • -i 选择网卡设备, 不指定-i则表示抓取的是默认网卡设备
  • -c 抓取多少条报文
  • –time-stamp-precision 指定捕获时的时间精度,默认毫秒 micro,可选纳秒 nano
  • -s 指定每条报文的最大字节数,默认 262144 字节

文件选项

  • -w 输出结果至文件(可被Wireshark读取分析)
tcpdump -c 2 -w a #表示抓取2个报文放入a文件
  • -C 限制输入文件的大小,超出后以后缀加 1 等数字的形式递增。
    注意单位是 1,000,000 字节(近似1M)
# 表示1M以后换一个文件写,最多写三个文件。
tcpdump -C 1 -W 3 -w abc
  • -W 指定输出文件的最大数量,到达后会重新覆写第 1 个文件
  • -G 指定每隔N秒就重新输出至新文件,注意-w 参数应基于strftime 参数指定文件名
# 表示每隔3s就生成一个文件,文件名为def-分钟-秒
tcpdump -G 3 -w def%M-%S
  • -r 读取一个抓包文件
  • -V 将待读取的多个文件名写入一个文件中,通过读取该文件同时读取多个文件
    如:
vim c
a
b

使用tcpdump -V c就可以一起读取c中的a和b两个包。

时间选项

• -t 不显示时间戳
• -tt 自 1970年 1 月 1 日 0 点至今的秒数
• -ttt 显示邻近两行报文间经过的秒数
• -tttt 带日期的完整时间
• -ttttt 自第一个抓取的报文起经历的秒数

详细分析选项

• -e 显示数据链路层头部
比如读取一个报文时,指定显示数据链路层头部

tcpdump -r a -e

• -q 不显示传输层信息
• -v 显示网络层头部更多的信息,如 TTL、id 等
• -n 显示 IP 地址、数字端口代替 hostname 等
• -S TCP 信息以绝对序列号替代相对序列号
• -A 以 ASCII 方式显示报文内容,适用 HTTP 分析
• -x 以 16 进制方式显示报文内容,不显示数据链路层
• -xx 以 16 进制方式显示报文内容,显示数据链路层
• -X 同时以 16 进制及 ACII 方式显示报文内容,不显示数据链路层
• -XX 同时以 16 进制及 ACII 方式显示报文内容,显示数据链路层

以上是关于Wireshark和tcpdump抓包工具的使用说明的主要内容,如果未能解决你的问题,请参考以下文章

tcpdump抓包工具的基本使用

聊聊tcpdump与Wireshark抓包分析

网络协议分析仪tcpdump和wireshark使用

tcpdump抓包和Wireshark解包

Linux网络抓包分析工具(tcpdumpwireshark)

tcpdump 抓包存文件使用tftp传输 wireshark 打开报错