使用tcpdump 和 Wireshark进行简单TCP抓包分析

一、tcpdump工具

 （一）简介

tcpdump是一个命令行的网络数据包分析工具，它允许用户在网络接口上捕获和显示TCP/IP和其他协议的数据包。主要用于在Linux和Unix系统上进行网络故障诊断、安全审计和网络性能分析等。

 （二）基本语法

常用的基本语法格式为：`tcpdump [ -adeflnNOpqStvx ] [ -c count ] [ -F file ] [ -i interface ] [ -m module ] [ -r file ] [ -s snaplen ] [ -T type ] [ -w file ] [ expression ]`

例如，`tcpdump -i eth0`会在`eth0`接口上捕获数据包。其中`-i`选项用于指定要监听的网络接口。

 （三）简单抓包示例

1. 捕获特定主机之间的数据包

   假设要捕获主机`192.168.1.10`和`192.168.1.20`之间的TCP数据包，可以使用以下命令：

     `tcpdump -i eth0 tcp and host 192.168.1.10 and host 192.168.1.20`

     这里`tcp`关键字指定了只捕获TCP协议的数据包，`and`用于组合多个过滤条件，`host`用于指定主机IP地址。

2. 捕获特定端口的数据包

   要捕获发送到或来自端口`80`（通常用于HTTP）的TCP数据包，命令如下：

     `tcpdump -i eth0 tcp and port 80`

     这种方式可以帮助分析Web服务器相关的网络流量。

 （四）输出结果分析

tcpdump输出的每一行代表一个捕获到的数据包。典型的输出格式如下：

`timestamp source_ip > destination_ip: tcp flags data_length`

例如：`10:12:34.567890 192.168.1.10.1234 > 192.168.1.20.80: S 1456`

其中`10:12:34.567890`是时间戳，表示数据包被捕获的时间。`192.168.1.10.1234`是源IP地址和端口，`192.168.1.20.80`是目的IP地址和端口。`S`是TCP标志位（`S`表示SYN，用于建立连接），`1456`是数据包的数据长度（不包括IP和TCP头部）。

 二、Wireshark工具

 （一）简介

Wireshark是一个图形化的网络数据包分析工具，支持多种操作系统，包括Windows、Linux和Mac等。它提供了直观的用户界面，能够对捕获到的数据包进行详细的分析，如查看协议层次结构、数据包内容、跟踪TCP流等。

 （二）基本操作

1. 捕获数据包

   打开Wireshark后，首先选择要捕获数据包的网络接口。在主界面上，点击“捕获”->“选项”，选择合适的网络接口（如以太网接口或Wi Fi接口），然后点击“开始”按钮开始捕获数据包。

2. 过滤数据包

   在捕获到大量数据包后，可能需要根据特定的条件进行过滤。Wireshark提供了强大的过滤功能。例如，要过滤TCP数据包，可以在过滤栏中输入“tcp”，然后回车，这样就只会显示TCP协议的数据包。

   要过滤特定主机之间的TCP数据包，例如主机`192.168.1.10`和`192.168.1.20`之间的数据包，可以输入`ip.addr == 192.168.1.10 and ip.addr == 192.168.1.20 and tcp`。

3. 查看数据包详情

   双击捕获到的数据包，可以查看该数据包的详细信息。包括各个协议层（如以太网、IP、TCP等）的头部信息和数据部分。在TCP层，可以查看TCP标志位（如SYN、ACK、FIN等）、序列号、确认号等重要信息。

   例如，在TCP头部的详细信息中，可以看到“Flags”字段显示当前数据包的TCP标志，“Sequence number”和“Acknowledgment number”用于TCP的连接建立、数据传输和连接终止过程中的数据跟踪。

 （三）跟踪TCP流

Wireshark的一个强大功能是可以跟踪TCP流。在数据包列表中右键单击一个TCP数据包，选择“追踪流”->“TCP流”。这会打开一个新窗口，显示整个TCP会话的内容，包括发送和接收的数据，以十六进制和ASCII码的形式呈现。这样可以方便地查看应用层数据，如HTTP请求和响应内容等。

 三、结合使用

可以先用tcpdump在服务器等无图形界面环境下捕获数据包，将捕获的数据包保存为文件（使用`-w`选项，如`tcpdump -i eth0 -w capture.pcap`），然后将这个文件传输到有Wireshark的计算机上进行详细分析。这样可以充分利用tcpdump在命令行环境下灵活捕获数据包的特点和Wireshark强大的图形化分析功能。