Tcpdump 抓包工具使用以及Wireshark解析pcap包

标签：12 pcap tcp 0xf0 解析 Tcpdump 抓包 Wireshark

Tcpdump 抓包工具使用以及Wireshark解析pacp包 参考链接(比较详细)：https://blog.csdn.net/weixin_42866036/article/details/128004750

1.项目上数据在共享时，由于接口有Token鉴权动作，有时调用接口会出现鉴权失效问题，由于是与第三方对接，不清楚是那一环节出问题了。抓包定位吧，三个小时把这个小玩意研究了一下。改了改命令行，勉强够使用。

2.tcpdump -nn -e -i eth01 -s 0 -A 'tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420 or tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x48545450 and host 10.**.**.** and port 8080' -w one1.pcap

命令解析： 　　-nn： 解析DNS 为IP        -e:         -i: 指定网关 　　-s: 包大小 　　-A:         cp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420： 由于我们都是http请求，这里使用监控http请求即可        tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x48545450：获取http请求返回的Response信息        host 10.**.**.**： 指定监听主机IP        port 8080: 指定监听端口        -w: 写入pcap文件在win中解析，查找问题。  3.直接使用Wireshark打开pcap包：

 

标签：12,pcap,tcp,0xf0,解析,Tcpdump,抓包,Wireshark
From： https://www.cnblogs.com/zhuzhu-you/p/17761421.html