linux 抓包分析

Linux下抓包工具tcpdump的使用方法

1、安装tcpdump

在Linux系统中，可以使用以下命令安装tcpdump:

sudo apt-get install tcpdump 

2、使用tcpdump抓包

tcpdump可以通过命令行参数来过滤和捕获网络数据包，以下是一些常用的命令行参数：

-i:指定要监听的网卡接口，例如eth0。

-n:不解析主机名，直接显示IP地址。

-v:详细输出模式。

-c:指定捕获的数据包数量。

-w:将捕获的数据包写入文件。

-r:从文件中读取数据包进行分析。

要监听eth0接口上的所有数据包，并将捕获的数据包写入output.pcap文件，可以使用以下命令：

sudo tcpdump -i eth0 -w output.pcap 

3、分析数据包

要分析捕获的数据包，可以使用Wireshark工具，首先需要安装Wireshark,然后使用它打开之前保存的数据包文件(如output.pcap)，在Wireshark中，可以查看数据包的详细信息，如源地址、目标地址、协议类型等，Wireshark还提供了丰富的过滤器功能，可以根据需要对数据包进行筛选和排序。

Linux下分析包的工具wireshark的使用方法

1、安装Wireshark

在Linux系统中，可以使用以下命令安装Wireshark:

sudo apt-get install wireshark 

2、使用Wireshark抓包

Wireshark可以通过图形界面或命令行参数来捕获网络数据包，以下是一些常用的命令行参数：

-i:指定要监听的网卡接口，例如eth0。

-b:指定要捕获的数据包数量。

-w:将捕获的数据包写入文件。

-r:从文件中读取数据包进行分析。

要监听eth0接口上的所有数据包，并将捕获的数据包写入input.pcap文件，可以使用以下命令：

sudo wireshark -i eth0 -w input.pcap 

3、分析数据包

在Wireshark中，可以查看数据包的详细信息，如源地址、目标地址、协议类型等，Wireshark还提供了丰富的过滤器功能，可以根据需要对数据包进行筛选和排序，要查看所有与HTTP相关的数据包，可以在过滤器栏输入"http"并按回车键。

相关问题与解答

1、如何使用tcpdump过滤特定端口的数据包？

答：可以使用以下命令过滤特定端口的数据包，例如过滤TCP协议且端口号为80的数据包：

sudo tcpdump -i eth0 -w output.pcap 'tcp port 80' 

2、如何使用wireshark查看数据包的大小？

答：在Wireshark的"Statistics"菜单下，可以查看每个捕获会话的总数据包数、总字节数等统计信息，在"Packet Details"面板中，还可以查看单个数据包的大小。