Sorry, your browser cannot access this site
This page requires browser support (enable) JavaScript
Learn more >

抓包

工具&教程

发布于:Mar 26, 2025

1.linux环境

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
# 命令介绍
tcpdump -i eth0 -w tcp.pcap -s 100 -c 10 -n 'host 1.1.1.1 and port 80 and tcp and vlan 10'
    # -i: 指定网口
    # -w: 保存到文件
    # -s: 限制单个包长度
    # -c: 指定抓包数量
    # -n: 不解析主机名和端口名
    # host/src/dst: ip地址
    # [src/dst] port: 端口号
    # icmp/udp/tcp/sctp
    # vlan: 限制VLAN抓包
    # -v/-vv: 显示详细信息

# 常用命令
tcpdump -i eth0 icmp
tcpdump -i eth0 host 1.1.1.1
tcpdump -i eth0 host 1.1.1.1 and port 80

tcpdump -i eth0 -w tcp.pcap
tcpdump -i eth0 -w tcp.pcap host 1.1.1.1
tcpdump -i eth0 -w tcp.pcap host 1.1.1.1 and port 80

2.vpp协议栈

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
# 1.pcap trace抓包
pcap trace rx tx max [num] intfc [interface] file [filename] max-bytes-per-pkt [number] filter [protocol] buffer-size [size]
    # rx/tx/drop: 接收、发送、丢弃
    # num: 捕获的最大包数
    # interface: 指定抓包的网络接口
    # filename: 保存抓包数据的文件名
    # number: 单个包长度
    # protocol: 指定过滤协议(tcp/udp/ip/icmp)
    # size: 缓冲区大小(单位为KB)

## 常用命令
pcap trace rx tx drop max 10000 intfc TenGigabitEthernet1 file capture.pcap max-bytes-per-pkt 1000 filter tcp

pcap trace rx max 10000
pcap trace tx max 10000
pcap trace rx tx max 10000
pcap trace rx tx drop max 10000

pcap trace status                   # 查看抓包状态
pcap trace off                      # 结束抓包

# 2.pcap dispatch trace抓包
pcap dispatch trace on max [num] file [filename]
    # num: 捕获的最大包数
    # filename: 保存抓包数据的文件名

## 常用命令
pcap dispatch trace on max 10000 file capture.pcap
pcap dispatch trace status
pcap dispatch trace off

3.镜像抓包

1
2
3
4
5
6
7
8
9
10
11
12
13
14
# 以H3C交换机为例
system-view
mirroring-group 1 source GigabitEthernet 1/0/1 {direction}			# 创建镜像组,编号为1,指定源端口,监控流向(direction: both、inbound、outbound)
mirroring-group 1 destination GigabitEthernet 1/0/2					# 指定镜像组1的目的端口
display mirroring-group all											# 显示所有镜像组的配置信息
抓包,在目的端口连接的设备上
undo mirroring-group 1												# 取消镜像组配置


mirroring-group 1 local												# 创建本地镜像组
mirroring-group 1 mirroring-port GigabitEthernet 1/0/18 both		# 配置本地镜像组1的源端口为GE1/0/1,并镜像端口的双向流量
mirroring-group 1 monitor-port GigabitEthernet 1/0/20				# 配置本地镜像目的观察端口为GE1/0/3
抓包,在目的端口连接的设备上
undo mirroring-group 1												# 取消镜像组配置

4.windos环境

  • 打开wireshark
    alt text

  • 选择网口,开始抓包
    alt text

  • 过滤报文
    alt text

1
2
3
4
5
6
7
8
9
# 过滤指令
icmp/tcp/udp/sctp/gtpu
ip.src/ip.dst/ip.addr/ipv6.src/ipv6.dst/ipv6.addr
()/&&/||/!/==

# 常用指令
icmp || tcp
ip.addr == 1.1.1.1
ip.src == 1.1.1.1 && ip.dst == 2.2.2.2

4.1 抓包过滤器

捕获过滤器的菜单栏路径为Capture –> Capture Filters。用于在抓取数据包前设置。

  • 类型Type(host、net、port)
  • 方向Dir(src、dst)
  • 协议Proto(ether、ip、tcp、udp、http、icmp、ftp等)
  • 逻辑运算符(&& 与、|| 或、!非)

协议过滤: 直接在抓包过滤框中直接输入协议名即可。
IP过滤: src host 192.168.1.104
端口过滤: src port 80
逻辑运算符: && 与、|| 或、!非

4.2 显示过滤器

显示过滤器是用于在抓取数据包后设置过滤条件进行过滤数据包。

比较操作符: 有== 等于、!= 不等于、> 大于、< 小于、>= 大于等于、<=小于等于。
协议过滤: 直接在Filter框中直接输入协议名即可。注意:协议名称需要输入小写。
ip过滤: ip.src ==192.168.1.104
端口过滤: tcp.srcport == 80
Http模式过滤: http.request.method==“GET”, 只显示HTTP GET方法的。
逻辑运算符: and/or/not

博客内容遵循 署名-非商业性使用-相同方式共享 4.0 国际 (CC BY-NC-SA 4.0) 协议

更新于:May 28, 2025

评论