Wireshark抓包和Tcpdump抓包实例分析-wireshark抓取tcp报文

今天浩道跟大家分享2款网工生涯中必不可少的神器Wireshark及Tcpdump，掌握这2个神器的使用，运维排查故障基本就是如鱼得水。

一、wireshark是什么？

wireshark是非常流行的网络封包分析软件，简称小鲨鱼，功能十分强大。可以截取各种网络封包，显示网络封包的详细信息。

wireshark是开源软件，可以放心使用。可以运行在Windows和Mac OS上。对应的，linux下的抓包工具是 tcpdump。使用wireshark的人必须了解网络协议，否则就看不懂wireshark了。

二、Wireshark常用应用场景

1. 网络管理员会使用wireshark来检查网络问题

2. 软件测试工程师使用wireshark抓包，来分析自己测试的软件

3. 从事socket编程的工程师会用wireshark来调试

4. 运维人员用于日常工作，应急响应等等

总之跟网络相关的东西，都可能会用到wireshark

三、Wireshark抓包原理

Wireshark使用WinPCAP作为接口，直接与网卡进行数据报文交换。

Wireshark使用的环境大致分为两种，一种是电脑直连网络的单机环境，另外一种就是应用比较多的网络环境，即连接交换机的情况。

「单机情况」下，Wireshark直接抓取本机网卡的网络流量；

「交换机情况」下，Wireshark通过端口镜像、ARP欺骗等方式获取局域网中的网络流量。

端口镜像：利用交换机的接口，将局域网的网络流量转发到指定电脑的网卡上。

ARP欺骗：交换机根据MAC地址转发数据，伪装其他终端的MAC地址，从而获取局域网的网络流量。

四、Wireshark软件安装

软件下载路径：

https://www.wireshark.org/

按照系统版本选择下载，下载完成后，按照软件提示一路Next安装。

五、Wireshark抓包示例

先介绍一个使用wireshark工具抓取ping命令操作的示例，可以上手操作感受一下抓包的具体过程。

1、打开wireshark，主界面如下：

2、选择菜单栏上捕获->选项，勾选WLAN网卡。这里需要根据各自电脑网卡使用情况选择，简单的办法可以看使用的IP对应的网卡。点击Start，启动抓包。

3、wireshark启动后，wireshark处于抓包状态中。

4、执行需要抓包的操作，如在cmd窗口下执行pingwww.baidu.com。

5、操作完成后相关数据包就抓取到了，可以点击 停止捕获分组 按钮。

6、为避免其他无用的数据包影响分析，可以通过在过滤栏设置过滤条件进行数据包列表过滤，获取结果如下。说明：ip.addr == 183.232.231.172 and icmp 表示只显示ICPM协议且主机IP为183.232.231.172的数据包。说明：协议名称icmp要小写。

7、wireshark抓包完成，并把本次抓包或者分析的结果进行保存，就这么简单。关于wireshark显示过滤条件、抓包过滤条件、以及如何查看数据包中的详细内容在后面介绍。

六、Wireshakr抓包界面介绍

Wireshark 的主界面包含6个部分：

菜单栏：用于调试、配置

工具栏：常用功能的快捷方式

过滤栏：指定过滤条件，过滤数据包

数据包列表：核心区域，每一行就是一个数据包

数据包详情：数据包的详细数据

数据包字节：数据包对应的字节流，二进制

说明：数据包列表区中不同的协议使用了不同的颜色区分。协议颜色标识定位在菜单栏视图–>着色规则。如下所示

WireShark 主要分为这几个界面

1. Display Filter(显示过滤器)

用于设置过滤条件进行数据包列表过滤。菜单路径：分析–> Display Filters。

2. Packet List Pane(数据包列表)

显示捕获到的数据包，每个数据包包含编号，时间戳，源地址，目标地址，协议，长度，以及数据包信息。不同协议的数据包使用了不同的颜色区分显示。

3. Packet Details Pane(数据包详细信息)

在数据包列表中选择指定数据包，在数据包详细信息中会显示数据包的所有详细信息内容。数据包详细信息面板是最重要的，用来查看协议中的每一个字段。各行信息分别为

（1）Frame:物理层的数据帧概况

（2）EthernetII:数据链路层以太网帧头部信息

（3）Internet Protocol Version 4:互联网层IP包头部信息

（4）Transmission Control Protocol:传输层T的数据段头部信息，此处是TCP

（5）Hypertext Transfer Protocol:应用层的信息，此处是HTTP协议

TCP包的具体内容

从下图可以看到wireshark捕获到的TCP包中的每个字段。

4. Dissector Pane(数据包字节区)

报文原始内容。

七、Wireshark过滤器设置

初学者使用wireshark时，将会得到大量的冗余数据包列表，以至于很难找到自己需要抓取的数据包部分。wireshark工具中自带了两种类型的过滤器，学会使用这两种过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。

1.抓包过滤器

捕获过滤器的菜单栏路径为捕获–>捕获过滤器。用于在抓取数据包前设置。

如何使用呢？设置如下。

ip host 183.232.231.172表示只捕获主机IP为183.232.231.172的数据包。获取结果如下：

2. 显示过滤器

显示过滤器是用于在抓取数据包后设置过滤条件进行过滤数据包。

通常是在抓取数据包时设置条件相对宽泛或者没有设置导致抓取的数据包内容较多时使用显示过滤器设置条件过滤以方便分析。

同样上述场景，在捕获时未设置抓包过滤规则直接通过网卡进行抓取所有数据包。

执行ping www.baidu.com获取的数据包列表如下

观察上述获取的数据包列表，含有大量的无效数据。这时可以通过设置显示器过滤条件进行提取分析信息。ip.addr == 183.232.231.172，并进行过滤。

上述介绍了抓包过滤器和显示过滤器的基本使用方法。在组网不复杂或者流量不大情况下，使用显示器过滤器进行抓包后处理就可以满足我们使用。下面介绍一下两者间的语法以及它们的区别。

八、wireshark过滤器表达式的规则

1.抓包过滤器语法和实例

抓包过滤器类型Type（host、net、port）、方向Dir（src、dst）、协议Proto（ether、ip、tcp、udp、http、icmp、ftp等）、逻辑运算符（&&与、|| 或、！非）

（1）协议过滤

比较简单，直接在抓包过滤框中直接输入协议名即可。

tcp，只显示TCP协议的数据包列表

http，只查看HTTP协议的数据包列表

icmp，只显示ICMP协议的数据包列表

（2）IP过滤

host 192.168.1.104

src host192.168.1.104

dst host192.168.1.104

（3）端口过滤

port 80

src port 80

dst port 80

（4）逻辑运算符&&与、|| 或、！非

src host 192.168.1.104 &&dst port 80 抓取主机地址为192.168.1.80、目的端口为80的数据包

host 192.168.1.104 || host 192.168.1.102 抓取主机为192.168.1.104或者192.168.1.102的数据包

！broadcast 不抓取广播数据包

2.显示过滤器语法和实例

（1）比较操作符

比较操作符有

== 等于、！= 不等于、> 大于、< 小于、>= 大于等于、<=小于等于

（2）协议过滤

比较简单，直接在Filter框中直接输入协议名即可。注意：协议名称需要输入小写。

tcp，只显示TCP协议的数据包列表

http，只查看HTTP协议的数据包列表

icmp，只显示ICMP协议的数据包列表

（3） ip过滤

ip.src ==112.53.42.42 显示源地址为112.53.42.42的数据包列表

ip.dst==112.53.42.42, 显示目标地址为112.53.42.42的数据包列表

ip.addr == 112.53.42.42 显示源IP地址或目标IP地址为112.53.42.42的数据包列表

（4）端口过滤

tcp.port ==80, 显示源主机或者目的主机端口为80的数据包列表。

tcp.srcport == 80, 只显示TCP协议的源主机端口为80的数据包列表。

tcp.dstport == 80，只显示TCP协议的目的主机端口为80的数据包列表。

（5）http模式过滤

http.request.method==”GET”, 只显示HTTP GET方法的。

（6）逻辑运算符为 and/or/not

过滤多个条件组合时，使用and/or。比如获取IP地址为192.168.0.104的ICMP数据包表达式为ip.addr == 192.168.0.104 and icmp

（7）按照数据包内容过滤

假设我要以ICMP层中的内容进行过滤，可以单击选中界面中的码流，在下方进行选中数据。

右键单击选中后出现如下界面

选中后在过滤器中显示如下

后面条件表达式就需要自己填写。如下我想过滤出data数据包中包含”abcd”内容的数据流。关键词是contains，完整条件表达式为data contains “abcd”

看到这， 基本上对wireshak有了初步了解。

3. 常见用显示过滤需求及其对应表达式

数据链路层：

筛选mac地址为043813:26的数据包

eth.src == 043813:26

筛选源mac地址为043813:26的数据包—-

eth.src == 043813:26

网络层：

筛选ip地址为192.168.1.1的数据包

ip.addr == 192.168.1.1

筛选192.168.1.0网段的数据

ip contains “192.168.1”

传输层：

筛选端口为80的数据包

tcp.port == 80

筛选12345端口和80端口之间的数据包

tcp.port == 12345 &&tcp.port == 80

筛选从12345端口到80端口的数据包

tcp.srcport == 12345 &&tcp.dstport == 80

应用层：

特别说明: http中http.request表示请求头中的第一行（如GET index.jsp HTTP/1.1） http.response表示响应头中的第一行（如HTTP/1.1 200 OK），其他头部都用http.header_name形式。

筛选url中包含.php的http数据包

http.request.uri contains “.php”

筛选内容包含username的http数据包

http contains “username”

九、Wireshark抓包分析TCP三次握手

1. TCP三次握手连接建立过程

Step1：客户端发送一个SYN=1，ACK=0标志的数据包给服务端，请求进行连接，这是第一次握手；

Step2：服务端收到请求并且允许连接的话，就会发送一个SYN=1，ACK=1标志的数据包给发送端，告诉它，可以通讯了，并且让客户端发送一个确认数据包，这是第二次握手；

Step3：服务端发送一个SYN=0，ACK=1的数据包给客户端端，告诉它连接已被确认，这就是第三次握手。TCP连接建立，开始通讯。

2.Wireshark抓包获取访问指定服务端数据包

Step1：启动wireshark抓包，打开浏览器输入www.baidu.com。

Step2：使用ping www.baidu.com获取IP。

Step3：输入过滤条件获取待分析数据包列表 ip.addr == 183.232.231.172

图中可以看到wireshark截获到了三次握手的三个数据包。第四个包才是HTTPS的， 这说明HTTPS的确是使用TCP建立连接的。

第一次握手数据包

客户端发送一个TCP，标志位为SYN，序列号为0， 代表客户端请求建立连接。

数据包的关键属性如下：

SYN ：标志位，表示请求建立连接

Seq = 0 ：初始建立连接值为0，数据包的相对序列号从0开始，表示当前还没有发送数据

Ack =0：初始建立连接值为0，已经收到包的数量，表示当前没有接收到数据

第二次握手的数据包

服务器发回确认包, 标志位为 SYN，ACK。将确认序号(Acknowledgement Number)字段+1，即0+1=1。

数据包的关键属性如下：

[SYN + ACK]: 标志位，同意建立连接，并回送SYN+ACK

Seq = 0 ：初始建立值为0，表示当前还没有发送数据

Ack = 1：表示当前端成功接收的数据位数，虽然客户端没有发送任何有效数据，确认号还是被加1，因为包含SYN或FIN标志位。（并不会对有效数据的计数产生影响，因为含有SYN或FIN标志位的包并不携带有效数据）

第三次握手的数据包

客户端再次发送确认包(ACK) SYN标志位为0，ACK标志位为1。并且把服务器发来ACK的序号字段+1，放在确定字段中发送给对方，并且在Flag段写ACK的+1：

数据包的关键属性如下：

ACK ：标志位，表示已经收到记录

Seq = 1 ：表示当前已经发送1个数据

Ack = 1 : 表示当前端成功接收的数据位数，虽然服务端没有发送任何有效数据，确认号还是被加1，因为包含SYN或FIN标志位（并不会对有效数据的计数产生影响，因为含有SYN或FIN标志位的包并不携带有效数据)。

就这样通过了TCP三次握手，建立了连接。开始进行数据交互

十、Wireshark分析常用操作

调整数据包列表中时间戳显示格式。调整方法为视图–>时间显示格式–>日期和时间。调整后格式如下：

一般Wireshark软件也可以与各主流厂家的模拟器一起使用，更适合于项目准确配置。

tcpdump前世今生

tcpdump是一个用于截取网络分组，并输出分组内容的工具。tcpdump凭借强大的功能和灵活的截取策略，使其成为类UNIX系统下用于网络分析和问题排查的首选工具。

tcpdump提供了源代码，公开了接口，因此具备很强的可扩展性，对于网络维护和入侵者都是非常有用的工具。tcpdump存在于基本的Linux系统 中，由于它需要将网络界面设置为混杂模式，普通用户不能正常执行，但具备root权限的用户可以直接执行它来获取网络上的信息。因此系统中存在网络分析工具主要不是对本机安全的威胁，而是对网络上的其他计算机的安全存在威胁。

说白了tcpdump就是linux下的一款抓包工具。通常用于故障诊断、网络分析，功能十分的强大。了解了tcpdump是何物之后，让我们通过实战去一一掀开它神秘的面纱。

tcpdump命令参数

tcpdump作为一个命令使用，其具有多样的参数选项。

tcpdump基本命令如下：

复制tcpdump[option][proto][dir][type]

其中：

1、option：即可选参数，可以指定相关参数，输出特定信息。

可选参数很多，主要有以下：

复制-A 以ASCII格式打印出所有分组，并将链路层的头最小化。 -c 在收到指定的数量的分组后，tcpdump就会停止。 -C 在将一个原始分组写入文件之前，检查文件当前的大小是否超过了参数file_size 中指定的大小。如果超过了指定大小，则关闭当前文件，然后在打开一个新的文件。参数 file_size 的单位是兆字节（是1,000,000字节，而不是1,048,576字节）。 -d 将匹配信息包的代码以人们能够理解的汇编格式给出。 -dd 将匹配信息包的代码以c语言程序段的格式给出。 -ddd 将匹配信息包的代码以十进制的形式给出。 -D 打印出系统中所有可以用tcpdump截包的网络接口。 -e 在输出行打印出数据链路层的头部信息。 -E 用spi@ipaddr algo:secret解密那些以addr作为地址，并且包含了安全参数索引值spi的IPsec ESP分组。 -f 将外部的Internet地址以数字的形式打印出来。 -F 从指定的文件中读取表达式，忽略命令行中给出的表达式。 -i 指定监听的网络接口。 -l 使标准输出变为缓冲行形式，可以把数据导出到文件。 -L 列出网络接口的已知数据链路。 -m 从文件module中导入SMI MIB模块定义。该参数可以被使用多次，以导入多个MIB模块。 -M 如果tcp报文中存在TCP-MD5选项，则需要用secret作为共享的验证码用于验证TCP-MD5选选项摘要（详情可参考RFC 2385）。 -b 在数据-链路层上选择协议，包括ip、arp、rarp、ipx都是这一层的。 -n 不把网络地址转换成名字。 -nn 不进行端口名称的转换。 -N 不输出主机名中的域名部分。例如，‘nic.ddn.mil‘只输出’nic‘。 -t 在输出的每一行不打印时间戳。 -O 不运行分组分组匹配（packet-matching）代码优化程序。 -P 不将网络接口设置成混杂模式。 -q 快速输出。只输出较少的协议信息。 -r 从指定的文件中读取包(这些包一般通过-w选项产生)。 -S 将tcp的序列号以绝对值形式输出，而不是相对值。 -s 从每个分组中读取最开始的snaplen个字节，而不是默认的68个字节。 -T 将监听到的包直接解释为指定的类型的报文，常见的类型有rpc远程过程调用）和snmp（简单网络管理协议；）。 -t 不在每一行中输出时间戳。 -tt 在每一行中输出非格式化的时间戳。 -ttt 输出本行和前面一行之间的时间差。 -tttt 在每一行中输出由date处理的默认格式的时间戳。 -u 输出未解码的NFS句柄。 -v 输出一个稍微详细的信息，例如在ip包中可以包括ttl和服务类型的信息。 -vv 输出详细的报文信息。 -w 直接将分组写入文件中，而不是不分析并打印出来。

2、proto：即类过滤器，指定过滤某种协议的数据包。如tcp、udp、ip、arp、icmp等。

3、dir：即类过滤器，根据数据流向进行过滤，可识别的关键字有src、dst、 src or dst等。

4、type：即类过滤器，可识别的关键字有：host, net, port, port range等，这些关键字后边需要再接具体参数。

tcpdump安装

1、linux系统默认没有安装tcpdump工具的，所以需要我们自己安装，这里我通过yum进行安装。

复制yum-yinstalltcpdump

2、安装完成，通过tcpdump -h查看它相关版本信息。

复制[root@haodaolinux1~]#tcpdump-h tcpdump version 4.9.2 libpcap version 1.5.3 OpenSSL 1.0.2k-fips 26 Jan 2017 Usage: tcpdump [-aAbdDefhHIJKlLnNOpqStuUvxX#] [ -B size ] [ -c count ] [ -C file_size ] [ -E algo:secret ] [ -F file ] [ -G seconds ] [ -i interface ] [ -j tstamptype ] [ -M secret ] [ –number ] [ -Q|-P in|out|inout ] [ -r file ] [ -s snaplen ] [ –time-stamp-precision precision ] [ –immediate-mode ] [ -T type ] [ –version ] [ -V file ] [ -w file ] [ -W filecount ] [ -y datalinktype ] [ -z postrotate-command ] [ -Z user ] [ expression ] [root@haodaolinux1 ~]#

tcpdump实战

下面通过常见的具体抓包实例，让你加深其使用技巧。

1、常用抓包命令1

复制tcpdump-ieno16777736

该命令参数表示抓取网口eno16777736上所有的数据包。

2、常用抓包命令2

复制tcpdump -i eno16777736 -s 0 -w hao1.cap

该命令参数大概意思是针对网口eno16777736抓取不限制大小的报文，保存为文件hao1.cap

3、常用抓包命令3

复制tcpdump -ni eno16777736 -c 10 dst host 192.168.3.165

该命令参数表示抓取网口eno16777736发往目的主机192.168.3.165的数据包，并且抓取10个包后，自动停止抓包。

4、常用抓包命令4

复制tcpdump-rhao1.cap

该命令是读取抓包文件hao1.cap,结果如下：

复制[root@haodaolinux1 ~]# tcpdump -r hao1.cap reading from file hao1.cap, link-type EN10MB (Ethernet) 1542.826813 IP 192.168.3.199.ssh > 192.168.3.165.8162: Flags [P.], seq 211541184:211541316, ack 3983093332, win 255, length 132 1542.862614 IP 192.168.3.165.armtechdaemon > 192.168.3.199.ssh: Flags [.], ack 546175073, win 16293, length 0 1543.026135 IP 192.168.3.165.8162 > 192.168.3.199.ssh: Flags [.], ack 132, win 16425, length 0 1543.609384 IP 192.168.3.199 > 183.232.231.172: ICMP echo request, id 9275, seq 7, length 64 1543.621431 IP 183.232.231.172 > 192.168.3.199: ICMP echo reply, id 9275, seq 7, length 64 1543.621610 IP 192.168.3.199.ssh > 192.168.3.165.armtechdaemon: Flags [P.], seq 1:133, ack 0, win 255, length 132 1543.821278 IP 192.168.3.165.armtechdaemon > 192.168.3.199.ssh: Flags [.], ack 133, win 16260, length 0 1544.610696 IP 192.168.3.199 > 183.232.231.172: ICMP echo request, id 9275, seq 8, length 64 1544.624632 IP 183.232.231.172 > 192.168.3.199: ICMP echo reply, id 9275, seq 8, length 64 1544.624842 IP 192.168.3.199.ssh > 192.168.3.165.armtechdaemon: Flags [P.], seq 133:265, ack 0, win 255, length 132 1544.824397 IP 192.168.3.165.armtechdaemon > 192.168.3.199.ssh: Flags [.], ack 265, win 16227, length 0

5、常用抓包命令5

复制tcpdump-ieno16777736host183.232.231.172andtcpport80

即表示抓取主机183.232.231.172所有在TCP 80端口的数据包。

6、常用抓包命令6

复制tcpdump-ieno16777736host183.232.231.172anddstport80

即表示抓取HTTP主机183.232.231.172在80端口接收到的数据包。

7、常用抓包命令7

复制tcpdump -i eno16777736 port 80

即表示抓取所有经过eno16777736,目的或源端口是80的网络数据。

8、常用抓包命令8

复制tcpdump -i eno16777736 icmp

即表示过滤出icmp包。如下图所示：

9、常用抓包命令9

复制tcpdumphost192.168.20.110

即表示监听本机跟主机192.168.20.110之间往来的通信包。

备注：出、入的包都会被监听。

10、常用抓包命令10

复制tcpdumpport8080

即表示监听特定端口8080的通信包。

11、常用抓包命令11

复制tcpdump tcp

即表示监听TCP的通信包。

12、常用抓包命令12

复制tcpdumptcpport22andsrchost192.168.20.110

即表示监听来自主机 192.168.20.110在端口 22 上的TCP数据包。

13、常用抓包命令13

复制tcpdumpiphost192.168.20.110and192.168.20.120

即表示监听来自主机192.168.20.110和主机192.168.20.120之间的数据包。

复制tcpdumpiphost192.168.20.110and! 192.168.20.120

即表示监听来自主机192.168.20.110 除了和主机192.168.20.120之外的主机之间的数据包。

14、常用抓包命令14

复制tcpdump tcp -i eth1 -t -s 0 -c 100 and dst port ! 22 and src net 192.168.1.0/24 -w ./target.cap

(1)tcp: ip icmp arp rarp 和 tcp、udp、icmp这些选项等都要放到第一个参数的位置，用来过滤数据报的类型；

(2)-i eth1 : 只抓经过接口eth1的包；

(3)-t : 不显示时间戳；

(4)-s 0 : 抓取数据包时默认抓取长度为68字节。加上-S 0 后可以抓到完整的数据包；

(5)-c 100 : 只抓取100个数据包；

(6)dst port ! 22 : 不抓取目标端口是22的数据包；

(7)src net 192.168.1.0/24 : 数据包的源网络地址为192.168.1.0/24(8)-w ./target.cap : 保存成cap文件，方便用ethereal(即wireshark)分析。

15、常用抓包命令15

复制tcpdump-s1024-l-A-nhost192.168.9.56 tcpdump -s 1024 -l -A src 192.168.9.56 or dst 192.168.9.56 sudo tcpdump -A -s 1492 dst port 80

即表示监听查看http请求的header数据包。

16、常用抓包命令16

复制tcpdump -i eth0 port http tcpdump -i eth0 port http or port smtp or port imap or port pop3 -l -A | egrep -i pass=|pwd=|log=|login=|user=|username=|pw=|passw=|passwd=|password=|pass:|user:|userna me:|password:|login:|pass |user

即表示监听查看网卡eth0的http请求的tcp包。

17、常用抓包命令17

复制tcpdump-n-vtcporudporicmpandnotport22

即表示监听查看tcp，upd，icmp非ssh的包。

18、常用抓包命令18

复制sudo tcpdump -i eth0 port 80 -w –

即表示监听查看http请求的request 包。

19、常用抓包命令19

复制sudotcpdump-ien1-n-s0-w-|grep-a-o-E“GET/.*|Host:.*”

即表示过滤http响应的get host头信息包。

20、常用抓包命令20

复制sudotcpdump-ien0udpport53

即表示监听DNS查询请求响应包。

21、常用抓包命令21

复制tcpdumptcpport22andhost192.168.20.110

即表示监听主机 192.168.20.110 接收和发出的 tcp 协议的 ssh 的数据包。

22、常用抓包命令22

复制tcpdumpicmpandsrc192.168.20.110-iens33-n

即表示过滤 icmp 报文并且源 IP 是 192.168.20.110。

23、常用抓包命令23

复制tcpdumpsrchost 192.168.20.110-iens33-n -c 5

即表示过滤源 IP 地址是 192.168.20.110 的包。

24、常用抓包命令24

复制tcpdumpdsthost192.168.20.110-iens33-n-c5

即表示过滤目的 IP 地址是 192.168.20.110 的包。

25、常用抓包命令25

复制tcpdump port 22 -i ens33 -n -c 5

即表示过滤端口号为 22， 即 ssh 协议的 的包。

26、常用抓包命令26

复制tcpdump portrange 22–433 -i ens33 -n -c 8

即表示过滤过滤端口号 22-433 内的数据包。

审核编辑 ：李倩