先随便讲两句吧
win 上抓包,使用wireshark 直接运行,通过选定网卡、配置筛选规则
相比,在linux 上抓包,直接使用命令 tcpdump 再添加筛选规则 就可以
好像wireshark的一个插件不维护,导致需要重新安装插件,不然就只能显示很单一的网卡
而且,这几个网卡 根本无法完本地抓包,需要手动更新 抓包
详细 其实可以看wireshark 首页面 上会有一小段报错
下载链接download
最开始,没搞明白,出现一些一些报错,如
Data written to the pipe is neither in a supported pcap format nor in pcapng format.
配置wireshark 时出现Multiple files:No file limit given. you must specify a file size,interval,or number of packets for each file
这些问题,归根结底就是格式不正确,而最本质的问题,就是网口不适配
提示如下:
Local interfaces are unavailable because no packet capture driver is installed.
根据提示,安装插件,或者点击上面的链接
安装插件后,主界面可以看到本地的很多网口
参考
然后捕获 就选指定的网口 就可以了,像我 如果要抓ping www.baidu.com 的包
打开wireshark 然后选择网卡,然后采用 ip (110.242.68.66)或者icmp 筛选
[Length: 32]
Frame 4958: 74 bytes on wire (592 bits), 74 bytes captured (592 bits)
Ethernet II, Src: 00:0f:e2:f7:6e:75, Dst: a8:a1:59:f4:b4:0d
Internet Protocol Version 4, Src: 110.242.68.66, Dst: 192.168.xx.yy
Internet Control Message Protocol
Type: 0 (Echo (ping) reply)
Code: 0
Checksum: 0x4f95 [correct]
[Checksum Status: Good]
Identifier (BE): 1 (0x0001)
Identifier (LE): 256 (0x0100)
Sequence Number (BE): 1478 (0x05c6)
Sequence Number (LE): 50693 (0xc605)
[Request frame: 4957]
[Response time: 43.382 ms]
Data (32 bytes)
Data: 6162636465666768696a6b6c6d6e6f7071727374757677616263646566676869
Text: abcdefghijklmnopqrstuvwabcdefghi
[Length: 32]
打开wireshark 主界面下面会有本机的一些网口
wireshark 的筛选规则
bash
########################################
###筛选指定ip
ip.addr == 192.168.0.2
###筛选指定的端口
tcp.port == 80
###筛选指定的源ip 和目的ip
ip.src == 192.168.1.2 and ip.dst == 192.168.1.3
###筛选指定的源ip 和目的端口
ip.src == 192.168.1.2 and tcp.dstport == 443
###筛选指定的源端口和目的ip
tcp.srcport == 8080 and ip.dst == 192.168.1.3
其他,未列入的筛选规则,可以类似的举一反三。
##################################