0
  • 聊天消息
  • 系統(tǒng)消息
  • 評(píng)論與回復(fù)
登錄后你可以
  • 下載海量資料
  • 學(xué)習(xí)在線課程
  • 觀看技術(shù)視頻
  • 寫(xiě)文章/發(fā)帖/加入社區(qū)
會(huì)員中心
創(chuàng)作中心

完善資料讓更多小伙伴認(rèn)識(shí)你,還能領(lǐng)取20積分哦,立即完善>

3天內(nèi)不再提示

在Ubuntu下如何使用wireshark抓包?

網(wǎng)絡(luò)技術(shù)干貨圈 ? 來(lái)源:CSDN ? 2023-02-22 09:26 ? 次閱讀

Wireshark(前稱Ethereal)是一個(gè)網(wǎng)絡(luò)封包分析軟件。網(wǎng)絡(luò)封包分析軟件的功能是截取網(wǎng)絡(luò)封包,并盡可能顯示出最為詳細(xì)的網(wǎng)絡(luò)封包資料。Wireshark使用WinPCAP作為接口,直接與網(wǎng)卡進(jìn)行數(shù)據(jù)報(bào)文交換。

一、安裝wireshark

打開(kāi)終端,輸入安裝命令,在下載完成后需要選擇yes回車同意協(xié)議,然后就會(huì)開(kāi)始安裝,安裝過(guò)程很快。

sudoapt-getinstallwireshark

二、啟動(dòng)wireshark

輸入命令回車,一定要加上sudo,才有管理員權(quán)限。

sudowireshark

啟動(dòng)后界面如下,可以看到是使用Qt開(kāi)發(fā)的界面,頂端從上至下是標(biāo)題欄、菜單欄、工具欄和過(guò)濾欄。下面是選擇接口作為過(guò)濾器,左側(cè)是所有接口名稱,右側(cè)是接口數(shù)據(jù)量大小。

比如我需要從以太網(wǎng)口和其他主機(jī)進(jìn)行網(wǎng)絡(luò)通信,所以選擇enpls0,然后點(diǎn)擊左上角鯊魚(yú)鰭的圖標(biāo),開(kāi)始抓包。

72aeb058-b248-11ed-bfe3-dac502259ad0.png

三、使用wireshark

1、下面是抓包一段時(shí)間后的結(jié)果,可以看到有很多UDP、ARP、ICMP協(xié)議的網(wǎng)絡(luò)報(bào)文。

72e97878-b248-11ed-bfe3-dac502259ad0.png

2、我們看到在數(shù)據(jù)列表中不斷地顯示從以太網(wǎng)口抓取到的報(bào)文,列表屬性分別為:

| 編號(hào)| 時(shí)間戳 |源地址|目的地址|協(xié)議|長(zhǎng)度|信息|

73d23252-b248-11ed-bfe3-dac502259ad0.png

3、在數(shù)據(jù)列表區(qū)下面是數(shù)據(jù)詳情區(qū)。在數(shù)據(jù)包列表中選擇任一數(shù)據(jù)包,在數(shù)據(jù)詳情區(qū)中會(huì)顯示數(shù)據(jù)包的所有詳細(xì)信息。數(shù)據(jù)詳情區(qū)是最重要的,用來(lái)查看協(xié)議中的每一個(gè)字段。各行信息分別為:

Frame: 物理層的數(shù)據(jù)幀概況

Ethernet II: 數(shù)據(jù)鏈路層以太網(wǎng)幀頭部信息

Internet Protocol Version 4: 互聯(lián)網(wǎng)層IP包頭部信息

User Datagram Protocol: 傳輸層的數(shù)據(jù)段頭部信息,此處是UDP

Data: 報(bào)文的數(shù)據(jù)位,展開(kāi)可以看到內(nèi)容

7403aeea-b248-11ed-bfe3-dac502259ad0.png

4、緊接著是數(shù)據(jù)字節(jié)區(qū),數(shù)據(jù)字節(jié)區(qū)左側(cè)是1個(gè)字節(jié)1個(gè)字節(jié)地顯示,每個(gè)字節(jié)用2個(gè)16進(jìn)制數(shù)表示。右側(cè)是16進(jìn)制對(duì)應(yīng)的10進(jìn)制數(shù)字對(duì)應(yīng)的ASCLL字符。右下角是數(shù)據(jù)統(tǒng)計(jì)區(qū),表示捕獲到n個(gè)分組,顯示x個(gè)分組,丟棄n-x個(gè)分組。

7441270c-b248-11ed-bfe3-dac502259ad0.png

5、數(shù)據(jù)包列表區(qū)中不同的協(xié)議使用了不同的顏色區(qū)分。協(xié)議顏色標(biāo)識(shí)定位在菜單欄的視圖——>著色規(guī)則。

74699fde-b248-11ed-bfe3-dac502259ad0.png

6、過(guò)濾規(guī)則可以說(shuō)是wireshark的精髓,必須得掌握。在數(shù)據(jù)報(bào)文很多的時(shí)候,或者多機(jī)通信的時(shí)候,你需要用過(guò)濾規(guī)則保留下你需要的報(bào)文。

比較操作符

比較操作符有==等于、!=不等于、>大于、=大于等于、<=小于等于。

協(xié)議類型

直接在Filter框中直接輸入?yún)f(xié)議名即可。注意:協(xié)議名稱需要輸入小寫(xiě)。

tcp,只顯示TCP協(xié)議的數(shù)據(jù)包列表

udp,只顯示UDP協(xié)議的數(shù)據(jù)包列表

http,只查看HTTP協(xié)議的數(shù)據(jù)包列表

7495069c-b248-11ed-bfe3-dac502259ad0.png

ip地址

ip.src ==192.168.1.10,顯示主機(jī)ip地址為192.168.1.10發(fā)送的報(bào)文列表

ip.dst==192.168.1.10,顯示主機(jī)ip地址為192.168.1.10的接收的報(bào)文列表

ip.addr == 192.168.1.10,顯示源ip地址或目標(biāo)ip地址為192.168.1.10的報(bào)文列表

75050578-b248-11ed-bfe3-dac502259ad0.png

端口號(hào)

udp.port == 9900, 顯示源主機(jī)或者目的主機(jī)端口為9900的報(bào)文列表。

udp.srcport == 9900, 只顯示UDP協(xié)議的源主機(jī)端口為9900的報(bào)文列表。

udp.dstport == 9900,只顯示UDP協(xié)議的目的主機(jī)端口為9900的報(bào)文列表。

752fb64c-b248-11ed-bfe3-dac502259ad0.png

組合條件

使用多個(gè)條件進(jìn)行過(guò)濾時(shí),使用and/or/not。

獲取源ip地址為192.168.1.10的udp報(bào)文:ip.src == 192.168.1.10 and udp

獲取目的ip地址為192.168.1.10且port為9900的udp報(bào)文:ip.src == 192.168.1.10 and udp.port == 9900

獲取目的ip地址不是192.168.1.10的且port不是9900的udp報(bào)文:ip.src != 192.168.1.10 and udp.port != 9900

755cde74-b248-11ed-bfe3-dac502259ad0.png

報(bào)文內(nèi)容

如果要以報(bào)文的數(shù)據(jù)位作為篩選條件,可以在數(shù)據(jù)詳情區(qū)選擇Data,然后右擊——>作為過(guò)濾器——>選中即可。

75791440-b248-11ed-bfe3-dac502259ad0.png

所有工程都離不開(kāi)網(wǎng)絡(luò)通信。





審核編輯:劉清

聲明:本文內(nèi)容及配圖由入駐作者撰寫(xiě)或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點(diǎn)僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場(chǎng)。文章及其配圖僅供工程師學(xué)習(xí)之用,如有內(nèi)容侵權(quán)或者其他違規(guī)問(wèn)題,請(qǐng)聯(lián)系本站處理。 舉報(bào)投訴
  • 以太網(wǎng)
    +關(guān)注

    關(guān)注

    40

    文章

    5426

    瀏覽量

    171739
  • UDP
    UDP
    +關(guān)注

    關(guān)注

    0

    文章

    325

    瀏覽量

    33941
  • 網(wǎng)絡(luò)通信
    +關(guān)注

    關(guān)注

    4

    文章

    801

    瀏覽量

    29814
  • 過(guò)濾器
    +關(guān)注

    關(guān)注

    1

    文章

    429

    瀏覽量

    19614
  • PCAP
    +關(guān)注

    關(guān)注

    0

    文章

    12

    瀏覽量

    12614

原文標(biāo)題:Ubuntu下如何使用wireshark抓包,保姆級(jí)教程

文章出處:【微信號(hào):網(wǎng)絡(luò)技術(shù)干貨圈,微信公眾號(hào):網(wǎng)絡(luò)技術(shù)干貨圈】歡迎添加關(guān)注!文章轉(zhuǎn)載請(qǐng)注明出處。

收藏 人收藏

    評(píng)論

    相關(guān)推薦

    Wireshark和Tcpdump實(shí)例分析

    wireshark是開(kāi)源軟件,可以放心使用??梢赃\(yùn)行在Windows和Mac OS上。對(duì)應(yīng)的,linux包工具是 tcpdump。使用wireshark的人必須了解網(wǎng)絡(luò)協(xié)議,否則
    的頭像 發(fā)表于 02-01 09:31 ?3047次閱讀

    USB軟件分析工具之三:Wireshark-華山派華山劍法

    Wireshark雖然以以太網(wǎng)聞名于江湖,尤其是其分析能力,借助USBPcap其也USB
    的頭像 發(fā)表于 05-02 21:41 ?3.4w次閱讀
    USB軟件<b class='flag-5'>抓</b><b class='flag-5'>包</b>分析工具之三:<b class='flag-5'>Wireshark</b>-華山派華山劍法

    wireshark2——ubuntu系統(tǒng)wireshark普通用戶設(shè)置

    權(quán)限 ) 4、將需要使用的普通用戶名加入wireshark用戶組,我的用戶是“dengyi”(需要根據(jù)具體用戶名修改?。瑒t需要使用命令: sudo gpasswd -a dengyi wireshark 這樣就完成了,以普通用戶dengyi登陸打開(kāi)
    發(fā)表于 01-08 10:19

    wireshark數(shù)據(jù)分析問(wèn)題

    用網(wǎng)絡(luò)調(diào)試助手作為T(mén)cp Server給STM32F429發(fā)送數(shù)據(jù),每次傳輸完21845bytes后,就出現(xiàn)問(wèn)題。用WireShark的數(shù)據(jù)有些不太理解。上圖為用串口調(diào)試助手調(diào)試后的信息,每次傳輸?shù)?1846bytes就接收
    發(fā)表于 04-08 04:35

    請(qǐng)問(wèn)wireshark很慢,一兩秒才抓到一個(gè),要怎么設(shè)置呢?

    wireshark安裝在virtual的ubuntu里,WIFI模塊發(fā)出來(lái)的TCP,WIFI模塊每15ms會(huì)發(fā)一個(gè)1000Byte的TCP
    發(fā)表于 08-06 08:00

    如何使用WireShark進(jìn)行網(wǎng)絡(luò)

      如何使用WireShark進(jìn)行網(wǎng)絡(luò):準(zhǔn)備工作、wireshark 主界面介紹、封包列表介紹
    發(fā)表于 04-02 07:05

    MCU_Wireshark USB的過(guò)程是怎樣的?

    MCU_Wireshark USB的過(guò)程是怎樣的?
    發(fā)表于 02-11 07:38

    Ubuntu16.04 LTSapt安裝WireShark

    的依賴,其中包括一個(gè)叫做wireshark-common的dpkg預(yù)配置時(shí)會(huì)彈出對(duì)話解釋安裝選項(xiàng),大意是dumpcap可以被安裝成允許
    發(fā)表于 04-02 14:32 ?403次閱讀

    使用wireshark分析TCP及UDP的資料詳細(xì)說(shuō)明

    本文檔的主要內(nèi)容詳細(xì)介紹的是使用wireshark分析TCP及UDP的資料詳細(xì)說(shuō)明。
    發(fā)表于 05-09 17:36 ?27次下載
    使用<b class='flag-5'>wireshark</b><b class='flag-5'>抓</b><b class='flag-5'>包</b>分析TCP及UDP的資料詳細(xì)說(shuō)明

    Wireshark數(shù)據(jù)網(wǎng)絡(luò)協(xié)議的分析

    Wireshark 是目前最受歡迎的包工具。它可以運(yùn)行在 Windows、Linux 及 MAC OS X 操作系統(tǒng)中,并提供了友好的圖形界面。同時(shí),Wireshark 提供功能強(qiáng)大的數(shù)據(jù)
    發(fā)表于 10-12 08:00 ?1次下載
    <b class='flag-5'>Wireshark</b>數(shù)據(jù)<b class='flag-5'>抓</b><b class='flag-5'>包</b>網(wǎng)絡(luò)協(xié)議的分析

    Wireshark從入門(mén)到精通之網(wǎng)絡(luò)協(xié)議分析必備

    Wireshark從入門(mén)到精通之網(wǎng)絡(luò)協(xié)議分析必備
    發(fā)表于 01-18 13:53 ?9次下載

    超詳細(xì)的WireShark使用教程

    Wireshark是非常流行的網(wǎng)絡(luò)封包分析軟件,可以截取各種網(wǎng)絡(luò)數(shù)據(jù),并顯示數(shù)據(jù)詳細(xì)信息。
    的頭像 發(fā)表于 06-06 09:22 ?6455次閱讀
    超詳細(xì)的<b class='flag-5'>WireShark</b><b class='flag-5'>抓</b><b class='flag-5'>包</b>使用教程

    linuxusbwireshark+usbmon

    wireshark:介紹和安裝方式請(qǐng)自行搜索;usbmon:即usbmonitor,是linux內(nèi)置的usb包工具;本質(zhì)是內(nèi)核模塊,以ubuntu14.04為例,模塊的位置:/lib
    的頭像 發(fā)表于 04-06 15:12 ?2936次閱讀
    linux<b class='flag-5'>下</b>usb<b class='flag-5'>抓</b><b class='flag-5'>包</b>:<b class='flag-5'>wireshark</b>+usbmon

    Wireshark原理及使用教程

    Wireshark使用的環(huán)境大致分為兩種,一種是電腦直連網(wǎng)絡(luò)的單機(jī)環(huán)境,另外一種就是應(yīng)用比較多的網(wǎng)絡(luò)環(huán)境,即連接交換機(jī)的情況。 「單機(jī)情況」Wireshark直接抓取本機(jī)網(wǎng)卡的網(wǎng)絡(luò)流量; 「交換機(jī)情況」
    的頭像 發(fā)表于 11-19 15:05 ?6201次閱讀
    <b class='flag-5'>Wireshark</b><b class='flag-5'>抓</b><b class='flag-5'>包</b>原理及使用教程

    一種利用wireshark對(duì)遠(yuǎn)程服務(wù)器/路由器網(wǎng)絡(luò)方法

    一種利用wireshark對(duì)遠(yuǎn)程服務(wù)器/路由器網(wǎng)絡(luò)方法
    的頭像 發(fā)表于 09-21 08:03 ?2920次閱讀
    一種利用<b class='flag-5'>wireshark</b>對(duì)遠(yuǎn)程服務(wù)器/路由器網(wǎng)絡(luò)<b class='flag-5'>抓</b><b class='flag-5'>包</b>方法