Linux使用tcpdump命令抓包并使用wireshark分析

蓝队云小课堂：

使用tcpdump抓包并使用 Wireshark分析网络流量是一项重要的网络管理和故障排除技能。以下是一个简单的步骤。

抓包

安装 tcpdump

在大多数Linux发行版上，您可以使用包管理器安装tcpdump。

例如，在基于Debian的系统上：

sudo apt-get install tcpdump

在基于Red Hat的系统上：

sudo yum install tcpdump

使用 tcpdump 抓包

要抓取所有接口的流量，可以使用以下命令：

sudo tcpdump -i any -w capture.pcap

-i any 表示监听所有网络接口。

-w capture.pcap表示将抓到的数据保存到capture.pcap文件中。

如果只想抓取特定接口（例如eth0），可以指定接口名称：

sudo tcpdump -i eth0 -w capture.pcap

要抓取特定端口的数据包（例如HTTP端口80），可以使用过滤器：

sudo tcpdump -i eth0 port 80 -w capture.pcap

捕获指定数量的数据包

您可以使用 -c选项来限制捕获的数据包数量：

sudo tcpdump -i eth0 -c 100 -w capture.pcap

实时查看抓包数据

如果希望在抓包过程中实时查看数据，可以不使用-w选项，而是直接在终端输出：

sudo tcpdump -i eth0

使用 Wireshark 分析抓包数据

安装 Wireshark

在大多数Linux发行版上，可以使用包管理器安装Wireshark。例如，在基于Debian的系统上：

sudo apt-get install wireshark

在基于Red Hat的系统上：

sudo yum install wireshark

打开抓包文件

启动Wireshark，然后打开tcpdump生成的capture.pcap文件。可以通过Wireshark的菜单 File > Open来打开文件。

基本分析步骤

过滤数据包：使用Wireshark的显示过滤器来筛选感兴趣的数据包。例如，过滤HTTP流量：

http

查看会话：使用 Statistics > Conversations 查看 TCP 会话，了解主机之间的通信情况。

分析特定流量：右键点击某个感兴趣的数据包，选择 Follow > TCP Stream 或 Follow > UDP Stream，可以查看特定会话的全部数据包。

检查错误和异常：使用Statistics > Protocol Hierarchy查看协议分布，识别异常流量。使用Analyze > Expert Information查看分析专家信息，以识别可能的错误和异常。

解读常见场景

HTTP请求与响应：在HTTP流量中，可以查看请求方法（如GET、POST）、URL、响应状态码（如200、404）、内容类型等。

DNS查询与响应：在DNS流量中，可以查看域名查询和响应的IP地址，识别解析时间和可能的解析失败。

TCP握手与关闭：查看TCP握手过程（SYN、SYN-ACK、ACK）和连接关闭过程（FIN、ACK），识别重传和连接超时问题。

SSL/TLS握手：在HTTPS流量中，可以查看SSL/TLS握手过程，识别加密协议和证书信息。

更多小知识，可联系蓝队云一起探讨。