T0200051701常见抓包工具的使用方法(初)

1、视讯产品线售后服务部常见抓包工具的使用方法Tcpdump的使用wirshark的使用1 12 2目录ContentsPage 2 2Page 3 3Tcpdump概念Linux作为网络服务器，特别是作为路由器和网关时，数据的采集和分析是不可少的，TcpDump是Linux中强大的网络采集分析工具之一。用简单的话来定义tcpdump，就是：dump the traffic on a network，根据使用者的定义对网络上的数据包进行截获的包分析工具。作为互联网上经典的系统管理员备工具，tcpdump以其强大的功能，灵活的截取策略，成为每个高级的系统管理员分析网络排查问题等所必备的工具之一。tc

2、pdump提供了源代码，公开了接口，因此具备很强的可扩展性，对于网络维护和入侵者都是非常有用的工具。tcpdump存在于基本的 FreeBSD系统中，由于它需要将网络接口设置为混杂模式，普通用户不能正常执行，但具备root权限的用户可以直接执行它来获取网络上的信息。因此系统中存在网络分析工具主要不是对本机安全的威胁，而是对网络上的其他计算机的安全存在威胁。Page 4 4Tcpdump用法及参数说明Tcpdump可以将网络中传送的数据包完全截获下来提供分析。它支持针对网络层、协议、网络或端口的过滤，并提供and、or、not等逻辑语句来帮助你去掉无用的信息。并且tcpdump还提供了多种参数，

3、通过不同的组合，对截取到的数据进行过滤。Tcpdump用法：参数说明：-a 将网络地址和广播地址转变成名字；-d 将匹配信息包的代码以人们能够理解的汇编格式给出；-dd 将匹配信息包的代码以c语言程序段的格式给出；-ddd 将匹配信息包的代码以十进制的形式给出；-e 在输出行打印出数据链路层的头部信息，包括源mac和目的mac，以及网络层的协议；-f 将外部的Internet地址以数字的形式打印出来；-l 使标准输出变为缓冲行形式；-n 指定将每个监听到数据包中的域名转换成IP地址后显示，不把网络地址转换成名字；-nn： 指定将每个监听到的数据包中的域名转换成IP、端口从应用名称转换成端口号后

4、显示Page 5 5-t 在输出的每一行不打印时间戳；-v 输出一个稍微详细的信息，例如在ip包中可以包括ttl和服务类型的信息；-vv 输出详细的报文信息；-c 在收到指定的包的数目后，tcpdump就会停止；-F 从指定的文件中读取表达式,忽略其它的表达式；-i 指定监听的网络接口；-p： 将网卡设置为非混杂模式，不能与host或broadcast一起使用-r 从指定的文件中读取包(这些包一般通过-w选项产生)；-w 直接将包写入文件中，并不分析和打印出来；-s snaplen snaplen表示从一个包中截取的字节数。0表示包不截断，抓完整的数据包。默认的话 tcpdump 只显示部分数

5、据包,默认68字节。-T 将监听到的包直接解释为指定的类型的报文，常见的类型有rpc （远程过程调用）和snmp（简单网络管理协议；）-X 告诉tcpdump命令，需要把协议头和包内容都原原本本的显示出来（tcpdump会以16进制和ASCII的形式显示），这在进行协议分析时是绝对的利器。 可能的值: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp.Protocol（协议） src, dst, src and dst, src or dstDirection（方向） net, port, host,

6、 portrange.Host(s): not, and, orLogical Operations（逻辑运算）举例： tcpdump -i eth0 -s 2000 -w test.cap not tcp port 3128 and host 7 表示捕获TCP以及TCP端口不是3128且TCP端口23的数据包Page 6 6Tcpdump的使用wirshark的使用1 12 2目录ContentsPage 7 7Page 8 8Wireshark的原名是Ethereal，新名字是2006年起用的。当时Ethereal的主要开发者决定离开他原来供职的公司，并继续开发这个

7、软件。但由于Ethereal这个名称的使用权已经被原来那个公司注册，Wireshark这个新名字也就应运而生了。 Wireshark的功能特点 支持UNIX和Windows等多平台 在接口实时捕捉包能详细显示包的详细协议信息 可以打开/保存捕捉的包可以导入导出其他捕捉程序支持的包数据格式可以通过多种方式过滤包多种方式查找包通过过滤以多种色彩显示包创建多种统计分析 Wireshark 概述Page 9 9Wireshark 作用网络管理员使用Wireshark来检测网络问题，网络安全工程师使用Wireshark来检查资讯安全相关问题，开发者使用Wireshark来为新的通讯协定除错，普通使用者使

8、用Wireshark来学习网络协定的相关知识当然，有的人也会 “居心叵测”的用它来寻找一些敏感信息Wireshark不是入侵侦测软件（Intrusion DetectionSoftware,IDS）。对于网络上的异常流量行为，Wireshark不会产生警示或是任何提示。然而，仔细分析 Wireshark截取的封包能够帮助使用者对于网络行为有更清楚的了解。Wireshark不会对网络封包产生内容的修改，它只会反映出目前流通的封包资讯。 Wireshark本身也不会送出封包至网络上。 Wireshark 实现基于分解器（dissector） 网络上每一层的协议都有对应的分解器，分解器的作用是把每一

9、层的信息分解，显示出首部字段，把有效载荷字段（payload）传递给向上一层的分解器，以达到逐层分解的目的 分解器有两种实现方式：作为主程序中的模块实现，或作为插件实现。Wireshark与对应的TCP5层模型Page 1010Page 1111Wireshark功能界面介绍Page 1212MENUS（菜单）SHORTCUTS（快捷方式） PACKET LIST PANE（封包列表)PACKET DETAILS PANE（封包详细信息）DISSECTOR PANE（16进制数据）MISCELLANOUS（杂项）13Page 131314Page 1414File：文件包括打开、合并捕捉文件，

10、save/保存,Print/打印,Export/导出捕捉文件的全部或部分。Edit：编辑包括如下项目：查找包，时间参考，标记一个多个包，设置预设参数。View：视图控制捕捉数据的显示方式，包括颜色，字体缩放，将包显示在分离的窗口，展开或收缩详情面版的地树状节点Go：定位包含到指定包的功能。Capture：抓包允许您开始或停止捕捉、编辑过滤器。Analyze：分析包含处理显示过滤，允许或禁止分析协议，配置用户指定解码和追踪TCP流等功能。Statistics：统计15Page 1515包括的菜单项用户显示多个统计窗口，包括关于捕捉包的摘要，协议层次统计等等。Telephony：电信该菜单包含若干

11、项目显示与电话业务相关的若干统计窗口，包括媒体分析、流程图、协议层次统计等。Tools：工具该菜单包含Wireshark中多个工具的启动项，比如创建防火墙访问控制规则等。Intermals：组件该菜单包含Wireshark内部信息的若干启动项，比如罗列Wireshark支持的协议等。Help：帮助包含一些辅助用户的参考内容。如访问一些基本的帮助文件，支持的协议列表，用户手册。Filter：过滤器Page 1616抓包方法Page 1717为什么抓包？ 在项目测试、开通、维护中，当有些棘手的问题通过常规的排查、抓取设备打印信息不能定位解决时，特别是与其他厂商对通或者网络引起的问题，可以借助网络抓

12、包对问题进行进一步的分析定位。网络抓包需要哪些工具？如何抓包？下面我们来一一介绍。Page 1818一 网络抓包主要工具 HUB（集线器）、镜像交换机等支持镜像功能的网络设备 HUB 镜像交换机抓包软件（如：wireshark、tcpdump） PC计算机二 抓包方法 1、用HUB（集线器）、镜像交换机抓包抓包的PC需要连接镜像交换机的镜像口用HUB或者镜像交换机，依赖wireshark工具对经过HUB或者镜像交换机数据包进行抓包，此种抓包方法可适用于对任何设备的抓包。例如通过镜像交换机抓取MCU的进出的数据包，网络搭建如下图： 说明：HUB的网络处理能力有限，使用HUB抓包时可能会导致网络丢

13、包 Page 1919三 wireshark工具使用步骤： （1）开启wireshark工具，点击菜单栏的“capture”或者工具栏上面的按钮“ ”，进入以后选择“interfaces”，进入选择PC机网卡。 （2）选择对应PC机的网卡，设置过滤器，数据包保存路径等等，然后点击“start”，进行抓包。 （3）根据情况点击“stop”，停止抓包。 具体操作如下：Page 2020点击show the capture optionsPage 2121选择本地的网络适配器设置捕获过滤设置保存文件名，路径设置多文件保存显示设置名词解析填写capture filter栏或者点击capture fil

14、ter按钮为您的过滤器起一个名字并保存，以便在今后的捕捉中继续使用这个过滤器。Page 2222点击开始Page 2323Protocol（协议）:可能的值: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp.如果没有特别指明是什么协议，则默认使用所有支持的协议。 Direction（方向）:可能的值: src, dst, src and dst, src or dst如果没有特别指明来源或目的地，则默认使用 src or dst 作为关键字。例如，host 表示捕获ip地址为10.2

15、.2.2的数据包。 Host(s):可能的值： net, port, host, portrange.如果没有指定此值，则默认使用host关键字。例如，src 表示捕获源地址为的数据包。 Logical Operations（逻辑运算）:可能的值：not, and, or.否(“not”)具有最高的优先级。或(“or”)和与(“and”)具有相同的优先级，运算时从左至右进行。例如，not tcp port 3128 and tcp port 23表示捕获TCP以及TCP端口不是3128且TCP端口23的数据包下面对捕获过滤器的语法做一下说明(第一层协议，不能使用

16、比较符)：24Page 2424数据包的查看:包的序号时间源IP目的IP协议包的长度包信息Page 2525TCP建链握手TCP提供的可靠数据传输服务，是依靠接收端TCP软件按序号对收到的数据分组进行逐一确认实现的。这个过程在TCP收发端开始通信时，被称为三次握手初始化。下面我们通过Wireshark分析下tcp的三次握手过程。 1）第一次握手：建立连接时，客户端发送SYN包（ SYN =j）到服务器，并进入SYN_SENT状态，等待服务器确认；包的内容，源ip：5，源端口：60006,目的ip 0，目的端口1720,序号：0，头长度：32byetes， 窗口大小4380，标志位为SYN，Seq为0，SYN为1代表客户端请求建立连接。 如下图：Page 26