一、如何使用 tcpdump 抓取数据
我们使用 tcpdump 来进行抓取数据。
下面是一个命令案例:
1 | tcpdump -i <net_name> host <ip> -w <ip>.pcap |
首先,net_name 是执行命令所在机器的网卡名称,一般来说使用 ip a, ifconfig 之类的命令获取,如下图就是使用 ifconfig 的返回结果,我们可以看到 10.1.1.14 对应的网卡名称是 eth0。
接着就是 ip,ip 就是与当前机器有网络交互的机器ip。比如有一台机器 10.1.1.15 开放了 80 端口的服务,我们想要抓取 10.1.1.14 访问 10.1.1.15 的 80 所产生的数据,就执行下面的命令
1 | tcpdump -i eth0 host 10.1.1.14 -w 10.1.1.14.pcap |
二、使用 wireshark 进行数据分析
使用 wireshark 打开上面得到 10.1.1.14.pcap 文件
通过 url 来过滤
1 | http.request.full_uri contains "users" |
通过 http body 来过滤
1 | tcp contains "username" |