遇到需要在Linux下抓包分析的问题,便用到了wireshark,非常强大的抓包分析软件,直接在系统里面安装,然后使用明亮抓包即可!
我这里用的是Ubuntuserver版,执行安装:
1、apt-get install wireshark
安装成功后使用命令进行抓包:
1、tshark -i eth0 port 6060
抓制定网卡和端口的包!
tshark 平常远程登陆时抓包很好用,而且可以直接解析,但总是不很记得如何打印出原本16进制的数据。
抓包命 令
|
-w 将抓包的数据写入文件filename中。
-i 指定要抓包的接口名称
-q 安静,在远程时最有用,否则会抓到你自己SSH的报文
读 包命令
|
-r 指定要读取的包文件
-x 将16进制原始包数据打印出来
-V 将包尽可能的解析(这个有时在包数量很多的情况下可以不使用,这样它会给出一个很简洁的报文解释)
然后用windows下的 winshark慢慢看
当然,也可以使用系统自带的tcpdump 来进行抓包。
1、tcpdump -i eth0 -s 0 -w /tmp/test.cap
然后使用wireshark进行解包分析,windows下下载路径:https://www.wireshark.org/
下载安装即可,需要注意的是,出来基本上都是UDP和TCP的包,如果要查看RTP等其他类型的包,可以找到相应端口的UDP包进行decode操作,来转换!