目的是抓取远程服务器的数据包,并显示在wireshark中。无需频繁使用tcpdump抓包保存为cap包,再从服务器下载分析;工具1、sshwin10默认不开启ssh服务器,开启方式为:搜索-->可选功能-->添加功能-->openSSH服务器-->安装aliyundrive.com/s/XDHMTb835TU3.tcpdump命令1.首先检查目标服务器是否安装,tcpdump--version,如果出现如下信息,tcpdumpversion4.9.2libpcapversion1.5.3OpenSSL1.0.2k-fips26Jan20172.如果没有安装,直接用yum快速安装,不介绍其他安装方法yuminstalltcpdumpuse1.tcpdump这里只是简单介绍一下,可以抓取想要的数据包。参数:-i:需要抓包的网卡-s:设置数据包大小,当设置为“0”时,使用默认数据包大小-S以绝对值形式输出tcp的序号,默认相对值-l:(小写L)不缓存,直接输出-w-:将原始数据包写入文件,“-”表示使用标准输出-nn,不转换端口名,默认转换,为例如22端口会在ssh-w存储中显示抓包,一般.cap格式-v输出比较详细的报文信息可以和多个v一起使用,比如-vvvvsrchost指定源ipdst主机指定thedestinationipsrcporttospecifythesourceportdstporttospecifythedestinationportor|and|norandornot2.Wireshark简单使用1.抓包,看到我的wifi网卡有数据传输,双击抓包packets2.右键指定数据行-》TrackingFlow-》tcpflowhttpflow等,可以看到对应的数据包3.常用过滤命令eq==等于ne!=不等于gt>大于...lt<小于...ge>=大于或等于le<=小于或等于and||请求信息http。request.uri包含“/dll/test.htm?”过滤包含81:60:03的udp包udpcontains81:60:03matches匹配过滤条件给定的正则表达式http.request.urimatches"expression"过滤通过指定域名1.http.host的http包==magentonotes.com2.http.host包含magentonotes.com过滤指定http响应状态码http.response.code==200过滤所有http响应包http.response==1过滤所有http请求包http.request==1过滤所有请求方式为POST的http请求包,注意POST要大写test”过滤http头http头中server字段包含nginx字符的数据包content_type=="text/html"3.ssh+wireshark+tcpdump(重点)下面介绍如何抓取远程服务器数据包1.进入wireshark安装目录,在目录栏输入cmd2。输入命令:sshroot@192.168.1.10-p22"tcpdump-ieth0-ntcpport8080-s0-l-w-"|"wireshark.exe"-k-i-注意:192.168.1.10是你自己的服务器地址,eth0是指定的网卡,8080是指定的捕获端口。这些参数可以根据实际情况进行调整。如果抓不到包,指定网卡,或者检查自己的过滤条件。3.回车弹出wireshark,返回cmd界面,输入yes,然后提示输入服务器密码,再输入密码4.大功告成,这样不仅不用tcpdump抓包保存了服务器上的数据包,然后使用wireshark分析繁琐的操作,直接配合wireshark实时过滤分析服务器数据包,大大提高了平时开发过程中的效率感谢小伙伴们阅读到最后。如有错误,请指正。
