Tshark
详细参数参见
tshark的
manpage。
// 列出可监听流量的网络接口列表。tshark使用1,2,...等数字来标识eth0,eth1...
# tshark -D
//
监听接口eth0上的UDP端口为1234的流量
# tshark -f "udp port 1234" -i 1
tshark的强悍之处在于对协议进行完全解码,甚至对分片的TCP包进行重组再行解码,例如
//
监听接口eth0上目标端口为80的http流量,并将http请求头的host和location打印
# tshark -f "dst port 80" -T fields -e http.host -e http.location -i 1
其中 -f 参数指定过滤表达式(即等同tcpdump的 filter_expression)
-T fields 指定屏幕输出信息类型为指定的协议字段(用-e添加指定字段),仅在wireshark的0.99.6以后的版本支持。
-i 1为指定监听的网络接口为1号
// 监听http流量,仅过滤GET请求, 监听10秒钟,打印出HTTP HOST和URL
c:\Program Files\Wireshark\tshark.exe -i 4 -n -f "tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420" -T fields -e http.host -e http.request.uri -a duration:10
网络数据采集分析工具TcpDump的简介
顾名思义,TcpDump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供 and、or、not等逻辑语句来帮助你去掉无用的信息。tcpdump 就是一种免费的网络分析工具,尤其其提供了源代码,公开了接口,因此具备很强的可扩展性,对于网络维护和入侵者都是非常有用的工具。tcpdump 存在于基本的FreeBSD系统中,由于它需要将网络界面设置为混杂模式,普通用户不能正常执行,但具备root权限的用户可以直接执行它来获取网络上的信息。因此系统中存在网络分析工具主要不是对本机安全的威胁,而是对网络上的其他计算机的安全存在威胁。
我们用尽量简单的话来定义tcpdump ,就是:dump the traffice on a network.,根据使用者的定义对网络上的数据包进行截获的包分析工具。作为互联网上经典的的系统管理员必备工具,tcpdump 以其强大的功能,灵活的截取策略,成为每个高级的系统管理员分析网络,排查问题等所必备的东西之一。tcpdump 提供了源代码,公开了接口,因此具备很强的可扩展性,对于网络维护和入侵者都是非常有用的工具。tcpdump 存在于基本的FreeBSD系统中,由于它需要将网络界面设置为混杂模式,普通用户不能正常执行,但具备root权限的用户可以直接执行它来获取网络上的信息。因此系统中存在网络分析工具主要不是对本机安全的威胁,而是对网络上的其他计算机的安全存在威胁。
网络数据采集分析工具TcpDump的安装
