分析网络流量工具

其他 2020-01-19 22:17:29 阅读次数: 0

一、Windows wireShark

  主要是用来捕获网络数据包,并自动解析数据包,为用户显示数据包的详细信息,供用户对数据包进行分析。

1、安装

  1)打开网址 http://www.wireshark.org,进入 Wireshark 官网

  2)点击Download进入下载页面,选择合适的版本进行下载
  3)双击下载的软件进行安装,可全部使用默认值,直至安装完成

2、开始抓包

  单击wireShark快捷方式,启动wireShark

  必须选择一个接口,捕获该接口上的数据包
  若不需要再捕获,单击左上角的“停止捕获分组”按钮即可

3、使用显示过滤器

  默认情况下,Wireshark 会捕获指定接口上的所有数据,并全部显示,这样会导致在分析这些数据包时,很难找到想要分析的那部分数据包。
  显示过滤器是基于协议、应用程序、字段名或特有值的过滤器,可以帮助用户在众多的数据包中快速地查找数据包,可以大大减少查找数据包时所需的时间。
  使用显示过滤器,需要在 Wireshark 的数据包界面中输入显示过滤器并执行。

3.1 显示过滤器及其作用

显示过滤器         作用
arp          显示所有 ARP 数据包
bootp         显示所有 BOOTP 数据包
dns          显示所有 DNS 数据包
ftp          显示所有 FTP 数据包
http         显示所有 HTTP 数据包
icmp         显示所有 ICMP 数据包
ip          显示所有 IPv4 数据包
ipv6         显示所有 IPv6 数据包
tcp          显示所有基于 TCP 的数据包
tftp         显示所有 TFTP(简单文件传输协议)数据包

4、分析数据包层次结构

  任何捕获的数据包都有它自己的层次结构,Wireshark 会自动解析这些数据包,将数据包的层次结构显示出来,供用户进行分析。这些数据包及数据包对应的层次结构分布在 Wireshark 界面中的不同面板中。

显示的信息从上到下分布在 3 个面板中,每个面板包含的信息含义如下:
  Packet List 面板:上面部分,显示 Wireshark 捕获到的所有数据包,这些数据包从 1 进行顺序编号。
  Packet Details 面板:中间部分,显示一个数据包的详细内容信息,并且以层次结构进行显示。这些层次结构默认是折叠起来的,用户可以展开查看详细的内容信息。
    显示了 5 个层次,每个层次的含义如下:
      Frame:该数据包物理层的数据帧概况。
      Ethernet II:数据链路层以太网帧头部信息。
      Internet Protocol Version 4:网际层 IP 包头部信息。
      Transmission Control Protocol:传输层的数据段头部信息。
      Hypertext Transfer Protocol:应用层的信息,此处是 HTTP 协议。
  Packet Bytes 面板:下面部分,显示一个数据包未经处理的原始样子,数据是以十六进制和 ASCII 格式进行显示。
用户对数据包分析就是为了查看包的信息,展开每一层,可以查看对应的信息。

二、Linux tcpdump

  根据使用者的定义对网络上的数据包进行截获的包分析工具。 tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。

1、命令

tcpdump

  ——默认启动,默认抓包68字节
  普通情况下,直接启动tcpdump将监视第一个网络接口上所有流过的数据包。

——监视指定网络接口的数据包
tcpdump -i eth1
如果不指定网卡,默认tcpdump只会监视第一个网络接口,一般是eth0,下面的例子都没有指定网络接口。

——监视指定主机的数据包
所有进入或离开sundown的数据包
tcpdump host sundown

截获所有指定IP地址收到的和发出的数据包
tcpdump host IP地址

打印截获helios 与 hot 或者与 ace 之间通信的数据包
tcpdump host helios and \( hot or ace \)

打印ace与任何其他主机之间通信的IP 数据包, 但不包括与helios之间的数据包
tcpdump ip host ace and not helios

获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包,使用命令:
tcpdump ip host 210.27.48.1 and ! 210.27.48.2

截获主机hostname发送的所有数据
tcpdump -i eth0 src host hostname

监视所有送到主机hostname的数据包
tcpdump -i eth0 dst host hostname

——监视指定主机和端口的数据包
获取主机210.27.48.1接收或发出的telnet包,使用如下命令
tcpdump tcp port 23 and host 210.27.48.1

对本机的udp 123 端口进行监视 123 为ntp的服务端口
tcpdump udp port 123

猜你喜欢

转载自www.cnblogs.com/Sheenagh/p/12215680.html
今日推荐
《美国对全球网络空间安全与发展的威胁和破坏》报告发布
火速冲上 GitHub 热榜 —— 开源编程语言、框架哪有这么可爱?
北京人形机器人创新中心发布全球首个纯电驱拟人奔跑的全尺寸人形机器人“天工”
LFOSSA 源来如此公开课 | 掌握云原生未来:CNCF 认证全面攻略与备考秘籍
周排行
循环神经网络(rnn)讲解
Tigao教程四:单独的关节运动
金蝶K3WISE15.0-注册套打教程
如何在Mac上配置Kubernetes
Android应用结束自身进程的方法
SpringMVC学习 十三 拦截器栈
中国驻洛杉矶总领馆举行新春招待会
HttpClient get post 发送
11 - three.js 笔记 - 绘制三维字体模型
Mysql递归获取某个父节点下面的所有子节点和子节点上的所有父节点
每日归档
更多
2024-05-01(4)
2024-04-30(1)
2024-04-29(40)
2024-04-28(0)
2024-04-27(56)
2024-04-26(39)
2024-04-25(22)
2024-04-24(36)
2024-04-23(26)
2024-04-22(39)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022