Linux使用tcpdump命令抓包并使用wireshark分析

藍隊云小課堂：

使用tcpdump抓包并使用 Wireshark分析網絡流量是一項重要的網絡管理和故障排除技能。以下是一個簡單的步驟。

抓包

安裝 tcpdump

在大多數Linux發行版上，您可以使用包管理器安裝tcpdump。

例如，在基于Debian的系統上：

sudo apt-get install tcpdump

在基于Red Hat的系統上：

sudo yum install tcpdump

使用 tcpdump 抓包

要抓取所有接口的流量，可以使用以下命令：

sudo tcpdump -i any -w capture.pcap

-i any 表示監聽所有網絡接口。

-w capture.pcap表示將抓到的數據保存到capture.pcap文件中。

如果只想抓取特定接口（例如eth0），可以指定接口名稱：

sudo tcpdump -i eth0 -w capture.pcap

要抓取特定端口的數據包（例如HTTP端口80），可以使用過濾器：

sudo tcpdump -i eth0 port 80 -w capture.pcap

捕獲指定數量的數據包

您可以使用 -c選項來限制捕獲的數據包數量：

sudo tcpdump -i eth0 -c 100 -w capture.pcap

實時查看抓包數據

如果希望在抓包過程中實時查看數據，可以不使用-w選項，而是直接在終端輸出：

sudo tcpdump -i eth0

使用 Wireshark 分析抓包數據

安裝 Wireshark

在大多數Linux發行版上，可以使用包管理器安裝Wireshark。例如，在基于Debian的系統上：

sudo apt-get install wireshark

在基于Red Hat的系統上：

sudo yum install wireshark

打開抓包文件

啟動Wireshark，然后打開tcpdump生成的capture.pcap文件。可以通過Wireshark的菜單 File > Open來打開文件。

基本分析步驟

?過濾數據包：使用Wireshark的顯示過濾器來篩選感興趣的數據包。例如，過濾HTTP流量：

http

?查看會話：使用 Statistics > Conversations 查看 TCP 會話，了解主機之間的通信情況。

?分析特定流量：右鍵點擊某個感興趣的數據包，選擇 Follow > TCP Stream 或 Follow > UDP Stream，可以查看特定會話的全部數據包。

?檢查錯誤和異常：使用Statistics > Protocol Hierarchy查看協議分布，識別異常流量。使用Analyze > Expert Information查看分析專家信息，以識別可能的錯誤和異常。

解讀常見場景

?HTTP請求與響應：在HTTP流量中，可以查看請求方法（如GET、POST）、URL、響應狀態碼（如200、404）、內容類型等。

?DNS查詢與響應：在DNS流量中，可以查看域名查詢和響應的IP地址，識別解析時間和可能的解析失敗。

?TCP握手與關閉：查看TCP握手過程（SYN、SYN-ACK、ACK）和連接關閉過程（FIN、ACK），識別重傳和連接超時問題。

?SSL/TLS握手：在HTTPS流量中，可以查看SSL/TLS握手過程，識別加密協議和證書信息。

更多小知識，可聯系藍隊云一起探討。