tcpdump截获网络数据 wireshark常用显示过滤器

一、tcpdump截获网络数据

1、存储参数：-w保存抓取数据，-w不受解析参数影响，-r读取抓取数据；

2、解析参数：-v、-vv、-vvv、-Xs0，-Xs0打印全部报文，其余参数都不打印报文；

3、常用过滤器：-i any、host any、port 8080

4、截获主机发送的所有数据：tcpdump -i eth0 src host 183.16.112.127

5、截获主机接收的所有数据：tcpdump -i eth0 dst host 183.16.112.127

二、wireshark常用显示过滤器

1、winpcap和npcap都是windows的数据包捕获库，wireshark使用这两个库；

2、winpcap已经不再维护，npcap兼容winpcap并持续更新，建议使用npcap；

3、TCP segment of a reassembled PDU，wireshark展示应用层数据分段发送，除了最后一个分段，都会打上这种标识；

4、设置时间显示格式：View，Time Display Format

5、查看一个数据流：右键，Follow TCP Stream

6、数据流是一个连接，wireshark使用Stream Index表示，对应变量是tcp.stream；

7、定位分组：使用编辑的查找分组，使用跳转的转至分组；

8、过滤帮助：Working With Captured Packets、Building Display Filter Expressions

关系运算符：

==

!=

<

>

<=

>=

contains

matchs

条件组合：

&&

||

!

ip过滤：

ip.src==211.149.156.144

ip.dst==211.149.156.144

ip.addr==211.149.156.144，源IP和目的IP

ip.host==211.149.156.144，源IP和目的IP

端口过滤：

tcp.srcport==80

tcp.dstport==80

tcp.port==80

udp.srcport==80

udp.dstport==80

udp.port==80

协议过滤：

ip.proto==TCP

ip.proto==UDP

ipv6

报文过滤：

tcp.len>0，报文内容非空

tcp.payload contains "text"，报文内容过滤

tcp.flags.reset==1，RST报文

tcp.analysis.retransmission，重传数据报文

frame.number==value，数据包序号过滤

frame.time>=start and frame.time<=end，数据包时间过滤

http过滤：

http，显示http请求和结果

http.request，显示http请求

http.response，显示http结果

http.host==www.3scard.com，显示指定host的http请求

http.request.uri contains "/android/index.php"，显示指定uri的http请求