Linux下Wireshark的網絡抓包使用方法
Wireshark是世界上最流行的網絡分析工具。這個強大的工具可以捕捉網絡中的資料,并為使用者提供關于網絡和上層協定的各種資訊。與很多其他網絡工具一樣,Wireshark也使用pcap network library來進行封包捕捉。
Wireshark的優勢:
- 安裝友善。
- 簡單易用的界面。
- 提供豐富的功能。
Wireshark的原名是Ethereal,新名字是2006年起用的。當時Ethereal的主要開發者決定離開他原來供職的公司,并繼續開發這個軟體。但由于Ethereal這個名稱的使用權已經被原來那個公司注冊,Wireshark這個新名字也就應運而生了。
Wireshark目前世界上最受歡迎的協定分析軟體,利用它可将捕獲到的各種各樣協定的網絡二進制資料流翻譯為人們容易讀懂和了解的文字和圖表等形式,極大地友善了對網絡活動的監測分析和教學實驗。它有十分豐富和強大的統計分析功能,可在Windows,Linux 和UNIX等系統上運作。此軟體于1998年由美國Gerald Combs首創研發,原名Ethereal,至今世界各國已有100多位網絡專家和軟體人員正在共同參與此軟體的更新完善和維護。它的名稱于2006年5月由原Ethereal改為Wireshark。至今它的更新更新速度大約每2~3個月推出一個新的版本,2007年9月時的版本号為0.99.6。但是更新後軟體的主要功能和使用方法保持不變。它是一個開源代碼的免費軟體,任何人都可自由下載下傳,也可參與共同開發。
Wireshark網絡協定分析軟體可以十分友善直覺地應用于計算機網絡原理和網絡安全的教學實驗,網絡的日常安全監測,網絡性能參數測試,網絡惡意代碼的捕獲分析,網絡使用者的行為監測,黑客活動的追蹤等。是以它在世界範圍的網絡管理專家,資訊安全專家,軟體和硬體開發人員中,以及美國的一些知名大學的網絡原理和資訊安全技術的教學、科研和實驗工作中得到廣泛的應用。
在安裝新舊版本軟體包和使用中,Ethereal與Wireshark的一些細微差別如下:
(1)Ethereal軟體安裝包中包含的網絡資料采集軟體是winpcap 3.0的版本,儲存捕獲資料時隻能用英文的檔案名,檔案名預設字尾為 .cap
(2)Wireshark軟體安裝包中,目前包含的網絡資料采集軟體是winpcap 4.0版本,儲存捕獲資料時可以用中文的檔案名,檔案名預設字尾為 .pcap。另外,Wireshark可以翻譯解釋更多的網絡通信協定資料,對網絡資料流具有更好的統計分析功能,在網絡安全教學和日常網絡監管工作中使用更友善,而基本使用方法仍然與Ethereal相同。
winpcap(windows packet capture)是windows平台下一個免費,公共的網絡通路系統。開發winpcap這個項目的目的在于為win32應用程式提供通路網絡底層的能力。
在Linux下,當我們需要抓取網絡資料包分析時,通常是使用tcpdump抓取網絡raw資料包存到一個檔案,然後下載下傳到本地使用wireshark界面網絡分析工具進行網絡包分析。
最近才發現,原來wireshark也提供有Linux指令行工具-tshark。tshark不僅有抓包的功能,還帶了解析各種協定的能力。下面我們以兩個執行個體來介紹tshark工具。
1、安裝方法
CentOS:
Ubuntu:
2、實時列印目前http請求的url(包括域名)
下面介紹參數含義:
-s 512 :隻抓取前512個位元組資料
-i eth0 :捕獲eth0網卡
-n :禁止網絡對象名稱解析
-f ‘tcp dst port 80′ :隻捕捉協定為tcp,目的端口為80的資料包
-R ‘http.host and http.request.uri’ :過濾出http.host和http.request.uri
-T fields -e http.host -e http.request.uri :列印http.host和http.request.uri
-l :輸出到标準輸出
3、實時列印目前mysql查詢語句
下面介紹參數含義:
-s 512 :隻抓取前512個位元組資料
-i eth0 :捕獲eth0網卡
-n :禁止網絡對象名稱解析
-f ‘tcp dst port 3306′ :隻捕捉協定為tcp,目的端口為3306的資料包
-R ‘mysql.query’ :過濾出mysql.query
-T fields -e mysql.query :列印mysql查詢語句
tshark使用-f來指定捕捉包過濾規則,規則與tcpdump一樣,可以通過指令man pcap-filter來查得。
tshark使用-R來過濾已捕捉到的包,與界面版wireshark的左上角Filter一緻。
發表于
2016-01-07 21:38
askDing
閱讀(1278)
評論(0)
編輯
收藏
舉報
