nc,nmap;;;tcpdump,tcpreplay,wireshark,sinffer；netcat,netstat抓包，端口等等

nc,namp,tcpdump,tcpreplay,wireshark,sniffer；

nc,namp,tcpdump,tcpreplay,wireshark,sniffer；

nc,nmap,tcpdump,tcpreplay,wireshark,sniffer；

...

======================

# tcpdump -w /home/XXX/zhuabaolog -s 5000 -i eth0 host 8X.XX.XX.X4 and port 1521

======================

 

 http://www.ha97.com/4550.html

PS：tcpdump是一个用于截取网络分组，并输出分组内容的工具，简单说就是数据包抓包工具。tcpdump凭借强大的功能和灵活的截取策略，使其成为Linux系统下用于网络分析和问题排查的首选工具。

tcpdump提供了源代码，公开了接口，因此具备很强的可扩展性，对于网络维护和入侵者都是非常有用的工具。tcpdump存在于基本的Linux系统中，由于它需要将网络界面设置为混杂模式，普通用户不能正常执行，但具备root权限的用户可以直接执行它来获取网络上的信息。因此系统中存在网络分析工具主要不是对本机安全的威胁，而是对网络上的其他计算机的安全存在威胁。

一、概述
顾名思义，tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤，并提供and、or、not等逻辑语句来帮助你去掉无用的信息。


# tcpdump -vv
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
11:53:21.444591 IP (tos 0x10, ttl  64, id 19324, offset 0, flags [DF], proto 6, length: 92) asptest.localdomain.ssh > 192.168.228.244.1858: P 3962132600:3962132652(52) ack 2726525936 win 1266
asptest.localdomain.1077 > 192.168.228.153.domain: [bad udp cksum 166e!]  325+ PTR? 244.228.168.192.in-addr.arpa. (46)
11:53:21.446929 IP (tos 0x0, ttl  64, id 42911, offset 0, flags [DF], proto 17, length: 151) 192.168.228.153.domain > asptest.localdomain.1077:  325 NXDomain q: PTR? 244.228.168.192.in-addr.arpa. 0/1/0 ns: 168.192.in-addr.arpa. (123)
11:53:21.447408 IP (tos 0x10, ttl  64, id 19328, offset 0, flags [DF], proto 6, length: 172) asptest.localdomain.ssh > 192.168.228.244.1858: P 168:300(132) ack 1 win 1266
347 packets captured
1474 packets received by filter
745 packets dropped by kernel


不带参数的tcpdump会收集网络中所有的信息包头，数据量巨大，必须过滤。

二、选项介绍

 

-A 以ASCII格式打印出所有分组，并将链路层的头最小化。

-c 在收到指定的数量的分组后，tcpdump就会停止。

-C 在将一个原始分组写入文件之前，检查文件当前的大小是否超过了参数file_size 中指定的大小。如果超过了指定大小，则关闭当前文件，然后在打开一个新的文件。参数 file_size 的单位是兆字节（是1,000,000字节，而不是1,048,576字节）。

-d 将匹配信息包的代码以人们能够理解的汇编格式给出。

-dd 将匹配信息包的代码以c语言程序段的格式给出。

-ddd 将匹配信息包的代码以十进制的形式给出。

-D 打印出系统中所有可以用tcpdump截包的网络接口。

-e 在输出行打印出数据链路层的头部信息。

-E 用spi@ipaddr algo:secret解密那些以addr作为地址，并且包含了安全参数索引值spi的IPsec ESP分组。

-f 将外部的Internet地址以数字的形式打印出来。

-F 从指定的文件中读取表达式，忽略命令行中给出的表达式。

-i 指定监听的网络接口。

-l 使标准输出变为缓冲行形式，可以把数据导出到文件。

-L 列出网络接口的已知数据链路。

-m 从文件module中导入SMI MIB模块定义。该参数可以被使用多次，以导入多个MIB模块。

-M 如果tcp报文中存在TCP-MD5选项，则需要用secret作为共享的验证码用于验证TCP-MD5选选项摘要（详情可参考RFC 2385）。

-b 在数据-链路层上选择协议，包括ip、arp、rarp、ipx都是这一层的。

-n 不把网络地址转换成名字。

-nn 不进行端口名称的转换。

-N 不输出主机名中的域名部分。例如，‘nic.ddn.mil‘只输出’nic‘。

-t 在输出的每一行不打印时间戳。

-O 不运行分组分组匹配（packet-matching）代码优化程序。

-P 不将网络接口设置成混杂模式。

-q 快速输出。只输出较少的协议信息。

-r 从指定的文件中读取包(这些包一般通过-w选项产生)。

-S 将tcp的序列号以绝对值形式输出，而不是相对值。

-s 从每个分组中读取最开始的snaplen个字节，而不是默认的68个字节。

-T 将监听到的包直接解释为指定的类型的报文，常见的类型有rpc远程过程调用）和snmp（简单网络管理协议；）。

-t 不在每一行中输出时间戳。

-tt 在每一行中输出非格式化的时间戳。

-ttt 输出本行和前面一行之间的时间差。

-tttt 在每一行中输出由date处理的默认格式的时间戳。

-u 输出未解码的NFS句柄。

-v 输出一个稍微详细的信息，例如在ip包中可以包括ttl和服务类型的信息。

-vv 输出详细的报文信息。

-w 直接将分组写入文件中，而不是不分析并打印出来。

三、tcpdump的表达式介绍

表达式是一个正则表达式，tcpdump利用它作为过滤报文的条件，如果一个报文满足表 达式的条件，则这个报文将会被捕获。如果没有给出任何条件，则网络上所有的信息包 将会被截获。

在表达式中一般如下几种类型的关键字：

第一种是关于类型的关键字，主要包括host，net，port，例如 host 210.27.48.2， 指明 210.27.48.2是一台主机，net 202.0.0.0指明202.0.0.0是一个网络地址，port 23 指明端口号是23。如果没有指定类型，缺省的类型是host。

第二种是确定传输方向的关键字，主要包括src，dst，dst or src，dst and src， 这些关键字指明了传输的方向。举例说明，src 210.27.48.2 ，指明ip包中源地址是 210.27.48.2 ， dst net 202.0.0.0 指明目的网络地址是202.0.0.0。如果没有指明 方向关键字，则缺省是src or dst关键字。

第三种是协议的关键字，主要包括fddi，ip，arp，rarp，tcp，udp等类型。Fddi指明是在FDDI (分布式光纤数据接口网络)上的特定的网络协议，实际上它是”ether”的别名，fddi和ether 具有类似的源地址和目的地址，所以可以将fddi协议包当作ether的包进行处理和分析。 其他的几个关键字就是指明了监听的包的协议内容。如果没有指定任何协议，则tcpdump 将会 监听所有协议的信息包。

除了这三种类型的关键字之外，其他重要的关键字如下：gateway， broadcast，less， greater， 还有三种逻辑运算，取非运算是 ‘not ‘ ‘! ‘， 与运算是’and’，’&&’;或运算是’or’ ，’||’； 这些关键字可以组合起来构成强大的组合条件来满足人们的需要。

四、输出结果介绍

下面我们介绍几种典型的tcpdump命令的输出信息

(1) 数据链路层头信息
使用命令：
#tcpdump --e host ICE
ICE 是一台装有linux的主机。它的MAC地址是0：90：27：58：AF：1A H219是一台装有Solaris的SUN工作站。它的MAC地址是8：0：20：79：5B：46； 上一条命令的输出结果如下所示：

21:50:12.847509 eth0 < 8:0:20:79:5b:46 0:90:27:58:af:1a ip 60: h219.33357 > ICE.  telne t 0:0(0) ack 22535 win 8760 (DF)

21：50：12是显示的时间， 847509是ID号，eth0 <表示从网络接口eth0接收该分组， eth0 >表示从网络接口设备发送分组， 8:0:20:79:5b:46是主机H219的MAC地址， 它表明是从源地址H219发来的分组. 0:90:27:58:af:1a是主机ICE的MAC地址， 表示该分组的目的地址是ICE。 ip 是表明该分组是IP分组，60 是分组的长度， h219.33357 > ICE. telnet 表明该分组是从主机H219的33357端口发往主机ICE的 TELNET(23)端口。 ack 22535 表明对序列号是222535的包进行响应。 win 8760表明发 送窗口的大小是8760。

(2) ARP包的tcpdump输出信息

使用命令：
#tcpdump arp

得到的输出结果是：

22:32:42.802509 eth0 > arp who-has route tell ICE (0:90:27:58:af:1a)
22:32:42.802902 eth0 < arp reply route is-at 0:90:27:12:10:66 (0:90:27:58:af:1a)

22:32:42是时间戳， 802509是ID号， eth0 >表明从主机发出该分组，arp表明是ARP请求包， who-has route tell ICE表明是主机ICE请求主机route的MAC地址。 0:90:27:58:af:1a是主机 ICE的MAC地址。

(3) TCP包的输出信息

用tcpdump捕获的TCP包的一般输出信息是：

src > dst: flags data-seqno ack window urgent options

src > dst:表明从源地址到目的地址， flags是TCP报文中的标志信息，S 是SYN标志， F (FIN)， P (PUSH) ， R (RST) “.” (没有标记); data-seqno是报文中的数据 的顺序号， ack是下次期望的顺序号， window是接收缓存的窗口大小， urgent表明 报文中是否有紧急指针。 Options是选项。

(4) UDP包的输出信息

用tcpdump捕获的UDP包的一般输出信息是：

route.port1 > ICE.port2: udp lenth

UDP十分简单，上面的输出行表明从主机route的port1端口发出的一个UDP报文 到主机ICE的port2端口，类型是UDP， 包的长度是lenth。

五、举例

(1) 想要截获所有210.27.48.1 的主机收到的和发出的所有的分组：
#tcpdump host 210.27.48.1

(2) 想要截获主机210.27.48.1 和主机210.27.48.2或210.27.48.3的通信，使用命令（注意：括号前的反斜杠是必须的）：
#tcpdump host 210.27.48.1 and (210.27.48.2 or 210.27.48.3 )

(3) 如果想要获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包，使用命令：
#tcpdump ip host 210.27.48.1 and ! 210.27.48.2

(4) 如果想要获取主机192.168.228.246接收或发出的ssh包，并且不转换主机名使用如下命令：
#tcpdump -nn -n src host 192.168.228.246 and port 22 and tcp

(5) 获取主机192.168.228.246接收或发出的ssh包，并把mac地址也一同显示：
# tcpdump -e src host 192.168.228.246 and port 22 and tcp -n -nn

(6) 过滤的是源主机为192.168.0.1与目的网络为192.168.0.0的报头：
tcpdump src host 192.168.0.1 and dst net 192.168.0.0/24

(7) 过滤源主机物理地址为XXX的报头：
tcpdump ether src 00:50:04:BA:9B and dst……
（为什么ether src后面没有host或者net？物理地址当然不可能有网络喽）。

(8) 过滤源主机192.168.0.1和目的端口不是telnet的报头，并导入到tes.t.txt文件中：
Tcpdump src host 192.168.0.1 and dst port not telnet -l > test.txt

ip icmp arp rarp 和 tcp、udp、icmp这些选项等都要放到第一个参数的位置，用来过滤数据报的类型。

例题：如何使用tcpdump监听来自eth0适配卡且通信协议为port 22，目标来源为192.168.1.100的数据包资料？

答：tcpdump -i eth0 -nn port 22 and src host 192.168.1.100

例题：如何使用tcpdump抓取访问eth0适配卡且访问端口为tcp 9080？

答:tcpdump -i eth0 dst 172.168.70.35 and tcp port 9080

例题：如何使用tcpdump抓取与主机192.168.43.23或着与主机192.168.43.24通信报文，并且显示在控制台上

tcpdump -X -s 1024 -i eth0 host (192.168.43.23 or 192.168.43.24) and  host 172.16.70.35

本文来源于Google，原作者不详，本人重新做了排版。

 

http://blog.csdn.net/wyymaomi/article/details/6735195

二。tcpdump 运行时出现的错误:

1. " tcpdump: no suitable device found " 错误
     一是 此错误是没有用root权限运行此命令 。
     二是 .缺省只能同时使用4个tcpdump，如用完，则报此类错。需要停掉多余的tcpdump

2. " tcpdump: syntax error " 错误
      命令语法错误，表达式在后面

 

三。命令运行
# tcpdump –w /home/文件路径/文件名 –s 5000 –i 网卡名 host 对端IP and port 某一方端口

 

http://www.51testing.com/?uid-22578-action-viewspace-itemid-142353

由于有个项目涉及到TCP、HTTP、Soap的一些东西，于是回顾了一下以前曾经学过的东西，并学到了一些新东西，以此记录。根据我的逐步学习过程，分了以下5个部分。

1.由netstat查看网络情况，引出的TCP建立连接、终止连接过程，以及TCP状态分析；

2.Soap=XML+HTTP引出的HTTP协议分析；

3.Soap(Simple Object Access Protocol)简单对象访问协议分析及应用；

4.番外一：awk的使用

5.番外二：Linux下抓包工具

--------------------------篇四-------------------------------------

这篇讲linux下的抓包工具。

抓包工具比较好用的有两个，一个是snort，一个是tcpdump，这次不说snort了，觉得这个工具虽然很强大，但是比较复杂，还是tcpdump比较简单。tcpdump windows、linux版本均有。linux版本可以在以下网站下载：www.tcpdump.org.

安装好tcpdump之后，运行tcpdump：

1. tcpdump -D 获取网络适配器列表，以下是在windows上获取到的结果：

 

1.\Device\PssdkLoopback (PSSDK Loopback Ethernet Emulation Adapter)
2.\Device\{CF587901-C85F-4FD6-896F-D977DEFE76EC} (Intel(R) PRO/100 VE Network Co
nnection)

 

2. tcpdump -i <需要监控的网络适配器编号>，例如我想监控lo(127.0.0.1)，即上面列表中的1.\Device\PssdkLoopback: （windows上特有的，linux不适用）

 

tcpdump -i 1

 

如果不使用-i来定义监控适配器的话，默认使用列表中的第一个；

3. 监控主机为192.9.200.59上8000端口的tcp协议：

 

tcpdump host 192.9.200.59 and tcp port 8000

 

4. 如果想要显示数据包的内容，需要使用-X参数，如，我想要显示捕获的http数据包http header的内容：

 

tcpdump -X host 192.9.200.59 and tcp port 8000

 

显示结果如下：

 

22:13:19.717472 IP testhost59.12535 > liujuan59.8000: . 1:330(329) ack 1 win 327
8
        0x0000:  4500 0171 e616 0000 8006 cb2b 0000 0000  E..q.......+....
        0x0010:  c009 c83b 30f7 1f40 0000 0002 0000 0002  ...;0..@........
        0x0020:  5010 8000 b066 0000 504f 5354 202f 2048  P....f..POST./.H
        0x0030:  5454 502f 312e 310d 0a43 6f6e 7465 6e74  TTP/1.1..Content
        0x0040:  2d54 7970 653a 2074 6578 742f 786d 6c3b  -Type:.text/xml;
        0x0050:  2063                                     .c

 

可以看到该结果只显示了http头的一部分，没有显示全，是因为tcpdump默认将显示的数据长度截断了，可以使用-s后面加数据长度，来设置数据显示长度：

 

tcpdump -X -s 0 host 192.9.200.59 and tcp port 8000

 

以上的例子中，-s 0 表示自动设置长度使其能够显示所有数据。

5. 捕获的数据太多，不断刷屏，可能需要将数据内容记录到文件里，需要使用-w参数：

 

tcpdump -X -s 0 -w aaa host 192.9.200.59 and tcp port 8000

 

则将之前显示在屏幕中的内容，写入tcpdump可执行文件同级目录下的aaa文件中。

文件查看方式如下，需要使用-r参数：

 

tcpdump -X -s 0 -r aaa host 192.9.200.59 and tcp port 8000

 

如果这样写：

 

tcpdump -r aaa

 

则只能看到最简单的数据传输交互过程，看不到数据包内容，查看时也需要使用相应的参数。

6.总结

总结一下，tcpdump的参数分两个部分，选项（Options）和表达式（expression）：

tcpdump[-adeflnNOpqRStuvxX] [-ccount]
               [-Cfile_size] [-Ffile]
               [-iinterface] [-mmodule] [-rfile]
               [-ssnaplen] [-Ttype] [-wfile]
               [-Ealgo:secret] [expression]

 

 

 

 http://xjsunjie.blog.51cto.com/999372/592539

近日在学习网卡驱动时，需要抓取网卡发送、接收数据的情况，于是找到了tcpdump和wireshark这两个工具，tcpdump是用来抓取数据的，wireshark则是用于分析抓取到的数据的，现将用法记录下来：

 

 

http://blog.csdn.net/zrzlj/article/details/6076219

 

1. Wireshark与tcpdump介绍

 Wireshark是一个网络协议检测工具，支持Windows平台和Unix平台，我一般只在Windows平台下使用Wireshark，如果是Linux的话，我直接用tcpdump了，因为我工作环境中的Linux一般只有字符界面，且一般而言Linux都自带的tcpdump，或者用tcpdump抓包以后用Wireshark打开分析。

在Windows平台下，Wireshark通过WinPcap进行抓包，封装的很好，使用起来很方便，可以很容易的制定抓包过滤器或者显示过滤器，具体在下面介绍。Wireshark是一个免费的工具，只要google一下就能很容易找到下载的地方。

tcpdump是基于Unix系统的命令行式的数据包嗅探工具。如果要使用tcpdump抓取其他主机MAC地址的数据包，必须开启网卡混杂模式，所谓混杂模式，用最简单的语言就是让网卡抓取任何经过它的数据包，不管这个数据包是不是发给它或者是它发出的，点击【http://en.wikipedia.org/wiki/Promiscuous_mode】获取更多有关混杂模式的资料。一般而言，Unix不会让普通用户设置混杂模式，因为这样可以看到别人的信息，比如telnet的用户名和密码，这样会引起一些安全上的问题，所以只有root用户可以开启混杂模式，开启混杂模式的命令是：ifconfig eth0 promisc, eth0是你要打开混杂模式的网卡。肯定有人要问如果在windows下要不要打开混杂模式，windows下网卡没有什么混杂模式不混杂模式，在于应用程序本身，如使用Wireshark抓包的时候可以通过设置为在混杂模式下抓包（这就是为什么该死的ARP欺骗病毒可以猖狂的原因）。tcpdump当然也可以指定抓包过滤器，而且其过滤器语言非常著名，叫做Berkeley包过滤，简称BPF语言。

2. 简单的例子

我们通过访问www.google.com.hk这个网址来看看抓包结果。

2.1  tcpdump

前面说过一般情况下Linux都自带了tcpdump，但是如果发生了小概率事件，发现没有tcpdump的话，可以到http://www.tcpdump.org下载源代码，编译安装。

使用root用户登录，运行tcpdump命令就可以开始抓包。这里说明一下，如果使用SSH登录到远程Linux，然后直接运行tcpdump，会发现抓到大量的数据包，速度快的都看不清楚，这是因为tcpdump抓到的包发送给远程的终端显示，同时又抓了这个包，再显示，再抓取，造成了循环抓取。当然，这样抓包没有任何意义，除了证明你的网络是通的。

因为没有打开网卡的混杂模式，所以如果本机没有任何进程访问网络，是抓不到包的，如果在字符界面下，用wget http://www.google.com.hk 访问网址，如果有GUI，可以打开firefox浏览器访问http://www.google.com.hk。

默认情况下，tcpdump会选择第一块网卡，也就是eth0，进行抓包，每行显示一个抓取的数据包，如：

0.003183              192.168.21.137  72.14.203.147     TCP        38039 > http [SYN] Seq=0 Win=5840 Len=0 MSS=1460 SACK_PERM=1 TSV=36941509 TSER=0 WS=6

0.011707              72.14.203.147     192.168.21.137  TCP        http > 38039 [SYN, ACK] Seq=0 Ack=1 Win=64240 Len=0 MSS=1460

0.011770              192.168.21.137  72.14.203.147     TCP        38039 > http [ACK] Seq=1 Ack=1 Win=5840 Len=0

以上三个数据包就是著名的TCP三次握手的数据包，其中38039是客户端的TCP端口，http的默认端口是80，如果tcpdump在/etc/services中发现端口对应的服务名称，那么会自动的转为名字，所以这里会显示为http。表示客户端的38039端口和服务器端的http端口进行TCP三次握手。

前面提到tcpdump默认选择第一块网卡进行抓包，我们可以使用-i参数指定通过哪一个网卡抓包，如（#表示我输入的命令，Linux下root用户的提示符就是#）：

# tcpdump –i eth1

或者

#tcpdump –i any

如果想知道我们可以通过哪几个网卡抓包，可以使用-D参数，如：

# tcpdump –D

1.eth0

2.any

3.lo

因为我的机器上只有一个网卡，因此只有eth0，如果有多块网卡活动的话，会有eth1，eth2依次下去。any的意思是通过任意一块网卡进行抓包，lo是回环接口。（关于TCP三次握手和回环接口等网络问题，请参考《TCP/IP协议详解》）。

默认情况下，tcpdump抓包结果显示在屏幕（严格点，专业点应该说是标准输出）上，显然这不利于进一步的数据分析，因此我们需要将抓包结果存放在文件中。可是使用-w命令将结果保存在文件中，如：

#tcpdump –w google.cap

这句命令将抓包结果存放在google.cap文件中，结束以后可以用Wireshark打开查看。同事，tcpdump出了抓包，还可以使用-r参数制定抓包数据文件，结合过滤器对抓包数据分析，如：

#tcpdump –r google.cap http

这句命令的意思是让tcpdump读取google.cap文件，把其中http协议的数据包都给过滤出来。关于过滤器在下面详细介绍。

2.2  Wireshark

我在windows系统中使用Wireshark的，首先熟悉一下界面，图1是使用Wireshark打开google.cap文件的界面，

 

图1   Wireshark界面

图1中标注出三快区域，R1区域用来显示简单的数据包信息，我们用tcpdump抓包的时候，默认情况下也是显示成这样的；R2区域用来显示选中的数据包的详细信息，细心一点会发现他是按照TCP/IP四层结构显示的，第一行是数据链路层的信息，第二行是网络层信息（IP协议），第三行是传输层信息（TCP协议），第四行是应用层信息（HTTP协议），可以展开每一行用来观察具体的内容；R3区域是用来显示此数据包的真实面目。我们在R1和R2区域看到的信息都是Wireshark整理以后给我们看的，抓包的真实数据实际上是一堆二进制序列，用ultraedit打开google.cap文件可以看到就是一些数字，如图2所示。

 

图2  抓包文件长的样子

使用Wireshark抓包非常容易，直接点击按钮（工具栏第三个按钮）（工具栏第一个按钮）就开始抓包了，会发现只要一点击这个按钮，立刻就显示抓到包了，这是因为Wireshark默认在混杂模式下抓包，只要经过网卡的数据包都抓取下来（当然这台机器要连在网络中，如果没有数据流过当然没有包可抓），点击按钮停止此次抓包。

如果机器上安装了多块网卡，Wireshark默认选择第一张网卡抓包，如果等抓包完成了，这是发现选错了网卡是一件极度郁闷的事情。点击按钮可以在抓包之前选择抓哪张网卡。

 

图3  选择网卡

我机器上只有一张网卡，另外两个是安装Vmware时的虚拟网卡，可以看到虽然Packets上面已经有数据了，实际上需要点击Start才开始抓包。

解决了选择网卡的问题以后，考虑如果过滤抓包内容，点击菜单栏上的” Capture” > “Options”可以看到制定抓包规则的界面，如图4所示。

 

图4  制定抓包规则

图4可以看到Caputre packets in promiscuous mode，默认是选中的，表示Wireshark默认在混杂模式下抓包。同样可以选择通过哪张网卡抓包，不过这些都不是重点，最重要的是Caupture Fileter这里，点击该按钮，可以看到弹出一些预定义好的过滤器。比如选择“HTTP TCP port(80)”，下面Filter string: tcp port http就是过滤器的表示。表示抓tcp协议的，端口为80的数据包（http协议的默认端口是80）。

3. 过滤器（BPF语言）的使用

         主要介绍一下在tcpdump中的过滤器使用，因为懂了这个就可以得心应手的使用wireshark了。

         从最简单的开始，BPF语言主要有一个标志或者数字和限定词组成，限定词有三种：

          第一种：指定类型

          host, 定义抓取哪个IP地址（也可以给它mac地址，格式是00:00:00:00:00:00）的数据包，比如我想抓有关192.168.0.148这个IP地址的数据包，那么就写成tcpdump host 192.168.0.148, host是限定词，192.168.0.148就是标志。这条命令会抓取从发出或者向192.168.0.148发送的数据包。

          net, 定义抓取某个网络的数据包，给出网络号就行了，它根据给的网络号字节数是1,2,3来判断A类地址，B类地址或者C类地址，比如tcpdump net 10.1.1 ，它就认为这是一个C类地址。

port，指定端口，比如tcpdump host and port 22, 这是抓端口为22的数据包，不管是TCP还是UDP的，这里我稍微早一点的给出了逻辑操作，and J，如果只想抓TCP的，那么可以写tcpdump host 192.168.0.148 and tcp port 22。

portrange，顾名思义，这个是指定端口范围的，用连字符”-”指定范围，比如tcpdump port 1025-8080

         第二种：指定方向

我们之前的命令都是说“这条命令会抓取从192.168.0.148发出或者向192.168.0.148发送”，所以，如果指向抓从发出的数据包可以使用限定词src, 命令：tcpdump src host 192.168.0.148，反过来，想抓发向192.168.0.148的数据包，使用限定词dst,命令：tcpdump dst host 192.168.0.148。

        第三种：指定协议

我们知道网络协议有N种。。。我列一下常用的几种，其他的可以去google一下J

ether和fddi, 以太网协议

tr, TR协议

ip, IP协议

ip6， IPv6协议

arp,  ARP协议

好了，最后还需要注意的是逻辑运算，and, or, not（与，或，非），上面已经有一个例子了， 这里就不再罗嗦了，和普通的编程语言没有什么不同。

 

除此之外，还有更加牛X的功能，比如指定TCP中的某个标识位是什么，这种应用我一般很少用，不再罗嗦了。

 

 

 

http://www.cnblogs.com/TankXiao/archive/2012/10/10/2711777.html

Wireshark基本介绍和学习TCP三次握手

之前写过一篇博客：用 Fiddler 来调试HTTP，HTTPS。 这篇文章介绍另一个好用的抓包工具wireshark， 用来获取网络数据封包，包括http,TCP,UDP，等网络协议包。

记得大学的时候就学习过TCP的三次握手协议，那时候只是知道，虽然在书上看过很多TCP和UDP的资料，但是从来没有真正见过这些数据包， 老是感觉在云上飘一样，学得不踏实。有了wireshark就能截获这些网络数据包，可以清晰的看到数据包中的每一个字段。更能加深我们对网络协议的理解。
对我而言， wireshark 是学习网络协议最好的工具。

 

阅读目录

1. wireshark介绍
2. wireshark不能做的
3. wireshark VS Fiddler
4. 同类的其他工具
5. 什么人会用到wireshark
6. wireshark 开始抓包
7. wireshark 窗口介绍
8. wireshark 显示过滤
9. 保存过滤
10. 过滤表达式
11. 封包列表(Packet List Pane)
12. 封包详细信息 (Packet Details Pane)
13. wireshark与对应的OSI七层模型
14. TCP包的具体内容
15. 实例分析TCP三次握手过程

 

wireshark介绍

wireshark的官方下载网站： http://www.wireshark.org/

wireshark是非常流行的网络封包分析软件，功能十分强大。可以截取各种网络封包，显示网络封包的详细信息。

wireshark是开源软件，可以放心使用。 可以运行在Windows和Mac OS上。

 

使用wireshark的人必须了解网络协议，否则就看不懂wireshark了。

Wireshark不能做的

为了安全考虑，wireshark只能查看封包，而不能修改封包的内容，或者发送封包。

 

Wireshark VS Fiddler

Fiddler是在windows上运行的程序，专门用来捕获HTTP，HTTPS的。

wireshark能获取HTTP，也能获取HTTPS，但是不能解密HTTPS，所以wireshark看不懂HTTPS中的内容

 

总结，如果是处理HTTP,HTTPS 还是用Fiddler,  其他协议比如TCP,UDP 就用wireshark

同类的其他工具

微软的network monitor

sniffer 

 

什么人会用到wireshark

1. 网络管理员会使用wireshark来检查网络问题

2. 软件测试工程师使用wireshark抓包，来分析自己测试的软件

3. 从事socket编程的工程师会用wireshark来调试

4. 听说，华为，中兴的大部分工程师都会用到wireshark。

 

总之跟网络相关的东西，都可能会用到wireshark.

wireshark 开始抓包

开始界面

wireshark是捕获机器上的某一块网卡的网络包，当你的机器上有多块网卡的时候，你需要选择一个网卡。

点击Caputre->Interfaces.. 出现下面对话框，选择正确的网卡。然后点击"Start"按钮, 开始抓包

 

Wireshark 窗口介绍

 

WireShark 主要分为这几个界面

1. Display Filter(显示过滤器)，  用于过滤

2. Packet List Pane(封包列表)， 显示捕获到的封包， 有源地址和目标地址，端口号。 颜色不同，代表

3. Packet Details Pane(封包详细信息), 显示封包中的字段

4. Dissector Pane(16进制数据)

5. Miscellanous(地址栏，杂项)

 

Wireshark 显示过滤

使用过滤是非常重要的， 初学者使用wireshark时，将会得到大量的冗余信息，在几千甚至几万条记录中，以至于很难找到自己需要的部分。搞得晕头转向。

过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。

过滤器有两种，

一种是显示过滤器，就是主界面上那个，用来在捕获的记录中找到所需要的记录

一种是捕获过滤器，用来过滤捕获的封包，以免捕获太多的记录。 在Capture -> Capture Filters 中设置

 

保存过滤

在Filter栏上，填好Filter的表达式后，点击Save按钮， 取个名字。比如"Filter 102",

Filter栏上就多了个"Filter 102" 的按钮。

过滤表达式的规则

表达式规则

 1. 协议过滤

比如TCP，只显示TCP协议。

2. IP 过滤

比如 ip.src ==192.168.1.102 显示源地址为192.168.1.102，

ip.dst==192.168.1.102, 目标地址为192.168.1.102

3. 端口过滤

tcp.port ==80,  端口为80的

tcp.srcport == 80,  只显示TCP协议的愿端口为80的。

4. Http模式过滤

http.request.method=="GET",   只显示HTTP GET方法的。

5. 逻辑运算符为 AND/ OR

常用的过滤表达式

过滤表达式	用途
http	只查看HTTP协议的记录
ip.src ==192.168.1.102 or ip.dst==192.168.1.102	源地址或者目标地址是192.168.1.102

 

 

 

 

 

 

 

封包列表(Packet List Pane)

封包列表的面板中显示，编号，时间戳，源地址，目标地址，协议，长度，以及封包信息。 你可以看到不同的协议用了不同的颜色显示。

你也可以修改这些显示颜色的规则，  View ->Coloring Rules.

 

封包详细信息 (Packet Details Pane)

这个面板是我们最重要的，用来查看协议中的每一个字段。

各行信息分别为

Frame:   物理层的数据帧概况

Ethernet II: 数据链路层以太网帧头部信息

Internet Protocol Version 4: 互联网层IP包头部信息

Transmission Control Protocol:  传输层T的数据段头部信息，此处是TCP

Hypertext Transfer Protocol:  应用层的信息，此处是HTTP协议

 

wireshark与对应的OSI七层模型

TCP包的具体内容

 从下图可以看到wireshark捕获到的TCP包中的每个字段。

 

 

实例分析TCP三次握手过程

看到这， 基本上对wireshak有了初步了解， 现在我们看一个TCP三次握手的实例

 

 三次握手过程为

 

这图我都看过很多遍了， 这次我们用wireshark实际分析下三次握手的过程。

打开wireshark, 打开浏览器输入 http://www.cnblogs.com/tankxiao

在wireshark中输入http过滤， 然后选中GET /tankxiao HTTP/1.1的那条记录，右键然后点击"Follow TCP Stream",

这样做的目的是为了得到与浏览器打开网站相关的数据包，将得到如下图

图中可以看到wireshark截获到了三次握手的三个数据包。第四个包才是HTTP的， 这说明HTTP的确是使用TCP建立连接的。

 

第一次握手数据包

客户端发送一个TCP，标志位为SYN，序列号为0， 代表客户端请求建立连接。 如下图

第二次握手的数据包

服务器发回确认包, 标志位为 SYN,ACK. 将确认序号(Acknowledgement Number)设置为客户的I S N加1以.即0+1=1, 如下图

第三次握手的数据包

客户端再次发送确认包(ACK) SYN标志位为0,ACK标志位为1.并且把服务器发来ACK的序号字段+1,放在确定字段中发送给对方.并且在数据段放写ISN的+1, 如下图:

 就这样通过了TCP三次握手，建立了连接