linux下wireshark抓包Linux抓包（wireshark+tcpdump）

本文主要介绍关于linux,wireshark,tcpdump的知识点，对Linux抓包（wireshark+tcpdump）和linux下wireshark抓包有兴趣的朋友可以看下由【何翰宇】投稿的技术文章，希望该技术和经验能帮到你解决你所遇的Linux相关技术问题。

linux下wireshark抓包

文章目录 一、Wireshark1. 安装wireshark工具2.打开Wireshark3. Wireshark基本使用4. 抓包信息1. 抓ping程序包请求信息响应信息ARP协议 2. 抓TCP三次握手、四次挥手三次握手四次挥手 3.抓telnet包安装 telnet用 Woreshark抓包 二、tcpdump工具1. 查看arp缓存2. tcpdump基本使用抓 ping包保存抓包数据到指定文件其它用法

---

一、Wireshark

Wireshark是一款图形化的抓包软件，在LInux和Windows下都可以下载。

1. 安装wireshark工具

用命令安装 wireshark相关软件包
命令：yum -y install wireshark* -y

rpm -ql wireshark查看安装wireshark产生了哪些文件

2.打开Wireshark

直接通过命令打开
wireshark

或者是图形化页面点开就好

3. Wireshark基本使用

点击Interface List，就可以看到接口列表，选择需要抓哪个网卡的包

这里我选择ens33网卡，点击start开始抓包

我们ping我们的主机地址，看看抓包情况

ping 工具使用的就是 ICMP协议，ICMP是IP协议的附属协议。IP层用它来与其他主机或路由器交换错误报文和其他重要信息。它主要是用来提供有关通向目的地址的路径信息。

4. 抓包信息

通过 ip.addr == [端口号]可以过滤掉无关ip

1. 抓ping程序包 请求信息

数据帧

链路层

网络层

应用层

响应信息

因为是ping的响应，要响应给windows，所以源变成了LInux本机，目的变成了windows。
接着是协议类型，ping的请求是8，响应变成了0

ARP协议

2. 抓TCP三次握手、四次挥手 三次握手

通过 Xshell连接Linux虚拟机

四次挥手

3.抓telnet包 安装 telnet

telnet是和ssh类似的，都是用来远程登录Linux服务器，ssh的端口号是22,telnet的端口号是23

安装命令：yum -y install telnet-server

安装完后要启动服务

命令：systemctl start telnet.socket

查看是否有 telnet服务的端口号
命令： netstat -nltp | grep :23

查看该应用产生哪些文件

测试 telnet
测试时记得开发23端口或者关闭防火墙
关闭防火墙命令： systemctl stop firewalld
添加端口号： firewall-cmd --zOne=public --add-port=[端口号]
注意：telnet 默认是不允许root用户登录的，只能登录普通用户

用 Woreshark抓包

抓包后发现，telnet传输的是明文数据。仔细找还能看到密码，所以这个命令基本是被淘汰了

二、tcpdump工具

tcpdump是 Linux下的抓包工具，但它是命令行的操作。用起来没有Wireshark方便

ARP：（地址解析协议IP-MAC）和RARP（逆地址解析协议MAC-IP）是某些网络接口（如以太网）使用的特殊协议，用来转换IP层和网络接口层使用的地址下层协议给上层协议提供了一些功能支撑，上层协议要依赖下层协议

1. 查看arp缓存

命令：arp -n
作用：查看arp缓存

arp缓存里记录了，我的主机曾经向拿台主机要过MAC地址

删除arp缓存
命令：arp -d [ip]

2. tcpdump基本使用

常用语法：tcpdump -i [网卡名] -nn host [主机ip]

-i ：指定网络接口，对于多个网络接口有用 -n ：显示IP地址，不查主机名。当DNS不起作用时常用到这个参数 -nn ：不显示协议和端口名。即显示IP地址和端口 抓 ping包

每次询问的MAC地址都会保存到，arp缓存里

保存抓包数据到指定文件

通过 -w 选项可以将抓包数据保存到指定文件里，再通过Woreshark打开

命令：tcpdump -i [网卡名] -nn host [主机ip] -w [文件名]

找到保存抓包信息的文件，打开

其它用法

下面的命令可以查看所有送到主机hostname的数据包
tcpdump -i eth0 dst host [主机ip]

本文《Linux抓包（wireshark+tcpdump）》版权归何翰宇所有，引用Linux抓包（wireshark+tcpdump）需遵循CC 4.0 BY-SA版权协议。