tcpdump捕获网络数据 wireshark常用显示过滤器
- 2015-09-28 15:56:00
- admin
- 原创 1831
一、tcpdump捕获网络数据
1、存储参数:-w保存抓取数据,-w不受解析参数影响,-r读取抓取数据;
2、解析参数:-v、-vv、-vvv、-Xs0,-Xs0打印全部报文,其余参数都不打印报文;
3、常用过滤器:-i any、host any、port 8080
4、截获主机发送的所有数据:tcpdump -i eth0 src host 183.16.112.127
5、截获主机接收的所有数据:tcpdump -i eth0 dst host 183.16.112.127
二、wireshark常用显示过滤器
1、winpcap和npcap都是windows的数据包捕获库,wireshark使用这两个库;
2、winpcap已经不再维护,npcap兼容winpcap并持续更新,建议使用npcap;
3、TCP segment of a reassembled PDU,应用层数据分段发送,除了最后一个分段,都会打上这种标识;
4、设置时间显示格式:View,Time Display Format
5、查看一个数据流:右键,Follow TCP Stream
6、数据流是一个连接,使用Stream Index表示,对应变量是tcp.stream;
7、统计的对话和分组长度可以查看每个对话和每种分组的耗时详情;
8、定位分组:使用跳转菜单的转至分组,使用编辑菜单的查找分组;
9、过滤帮助:Working With Captured Packets、Building Display Filter Expressions
关系运算符:
==
!=
<
>
<=
>=
contains
matchs
条件组合:
&&
||
!
ip过滤:
ip.src==211.149.156.144
ip.dst==211.149.156.144
ip.addr==211.149.156.144,源IP和目的IP
ip.host==211.149.156.144,源IP和目的IP
端口过滤:
tcp.srcport==80
tcp.dstport==80
tcp.port==80
udp.srcport==80
udp.dstport==80
udp.port==80
协议过滤:
ip.proto==TCP
ip.proto==UDP
ipv6
报文过滤:
tcp.len>0,报文内容非空
tcp.payload contains "text",报文内容过滤
tcp.flags.reset==1,RST报文
tcp.analysis.retransmission,重传数据报文
frame.number==value,数据包序号过滤
frame.time>=start and frame.time<=end,数据包时间过滤
http过滤:
http,显示http请求和结果
http.request,显示http请求
http.response,显示http结果
http.host==www.3scard.com,显示指定host的http请求
http.request.uri contains "/android/index.php",显示指定uri的http请求