网络抓包工具使用

一、下载安装

（1） linux：

① 使用 yum install tcpdump -y 安装 **tcpdump **工具

② 编译安装

yum -y install gcc-c++
yum -y install flex
yum -y install bison

官网下载tcpdump和libpcap

官网地址:https://www.tcpdump.org/index.html#latest-releases

安装libpcap
tar -zxvf libpcap-1.10.1.tar.gz
cd libpcap-1.10.1
./configure
make
make install

安装tcpdump
tar -zxvf tcpdump-4.99.1.tar.gz
cd tcpdump-4.99.1
./configure
make
make install

（2） windows：

① 官方下载链接：https://www.wireshark.org/download.html

二、抓包命令

tcp抓包命令:tcpdump -i any -nn -vv "tcp port 10670" -w temp.cap
udp抓包命令:tcpdump -i any -nn -vv "udp port 52000" -w temp.cap

windows下抓包

打开Wireshark软件，选择当前使用的网卡，不确定可以全选

过滤特定IP地址：
显示源IP地址为 192.168.138.100 的数据包：ip.src == 192.168.138.100
显示目的IP地址为 192.168.138.200 的数据包：ip.dst == 192.168.138.200
显示源或目的IP地址为 192.168.138.100 的数据包：ip.addr == 192.168.138.100

过滤特定协议：
显示所有TCP数据包：tcp
显示所有UDP数据包：udp
显示所有ICMP数据包：icmp

过滤端口号：
显示源或目的端口号为 80 的数据包：tcp.port == 80 or udp.port == 80

组合多个条件：
显示源IP地址为 192.168.1.100 并且目的端口号为 80 的TCP数据包：ip.src == 192.168.1.100 and tcp.dstport == 80