Wireshark 如何抓取数据并分析

发表于 更新于 分类于 阅读次数: 本文字数: 506 阅读时长 ≈ 1 分钟

一、如何使用 tcpdump 抓取数据

我们使用 tcpdump 来进行抓取数据。
下面是一个命令案例:

1
tcpdump -i <net_name> host <ip> -w <ip>.pcap

首先,net_name 是执行命令所在机器的网卡名称,一般来说使用 ip a, ifconfig 之类的命令获取,如下图就是使用 ifconfig 的返回结果,我们可以看到 10.1.1.14 对应的网卡名称是 eth0

接着就是 ipip 就是与当前机器有网络交互的机器ip。比如有一台机器 10.1.1.15 开放了 80 端口的服务,我们想要抓取 10.1.1.14 访问 10.1.1.15 的 80 所产生的数据,就执行下面的命令

1
tcpdump -i eth0 host 10.1.1.14 -w 10.1.1.14.pcap

二、使用 Wireshark 进行数据分析

使用 Wireshark 打开上面得到 10.1.1.14.pcap 文件

通过 url 来过滤

1
http.request.full_uri contains "users"

通过 http body 来过滤

1
tcp contains "username"

参考

  1. 过滤器案例手册