在linux上查看抓包文件
一般情况，都会将文件下载到Windows电脑上进行分析查看，但是有时候 只需要获取其中一点需要的信息，也可以在linux上查看。一般http协议的包查看 比较方便。比如8080.cap就是抓的访问antispam的数据包，可以如下查看： strings 8080.cap
目 录 Contents
进行数据包简略分析
smpp协议的数据包Follow TCP Stream后显示的数据就比较直观些。
进行数据包简略分析
http协议的数据包Follow TCP Stream后显示的数据就非常明确了。
进行数据包简略分析
通过设置Set Time References来快速查看数据包直接的时差。
如下图选择一个数据包Set Time Reference后，就以该数据包为开始时刻，从而很容易看出后面数据包的 时间间隔。
第1章 第2章 第3章
Linux上抓包与分析 Windows上抓包的方法 Wireshark进行数据包分析
在windows上使用wireshark抓包
开始抓包
在windows上使用wireshark抓包
高级选项设置
目 录 Contents
第1章 第2章 第3章
Linux上抓包与分析 Windows上抓包的方法 Wireshark进行数据包分析
7.截获10.0.2.6发的100个数据包 tcpdump -i any -xns0 -c 100 src 10.0.2.6 -w request100.cap -vv 8.截获10.0.2.6发来的icmp包 tcpdump -i any -xns0 src 10.0.2.6 and icmp -w ping.cap -vv 9.截获主机10.0.5.227 与10.0.5.231和10.0.5.234之间的数据包 tcpdump -i any –xns0 host 10.0.5.227 and 10.0.5.231 or 10.0.5.234 -w 2.cap -vv
5. 截获10.0.2.6发给10.0.5.227的数据包
tcpdump -i any -xns0 src 10.0.2.6 and dst 10.0.5.227 -w request.cap -vv
TCPdump应用举例
6. 截获10.0.2.6发给10.0.5.227的8080端口的数据包
tcpdump -i any -xns0 src 10.0.2.6 and dst 10.0.5.227 and port 8080 -w request.cap -vv
就以M+和CBS之间的计费消息为例。 1. 首先将数据包用wireshark打开，然后Follow TCP Stream。 2. 然后选择Hex Dump以16进制展示。
精确分析diameter协议包
3. 将需要的数据信息复制到文本文件中，去掉多余的信息得到干净的数据块。
精确分析diameter协议包
数据包分析简介 ቤተ መጻሕፍቲ ባይዱireShark
目 录 Contents
第1章 第2章 第3章
Linux上抓包与分析 Windows抓包方法 Wireshark进行数据包分析
TCPdump命令介绍
顾名思义，tcpdump可以将网络中传送的数据包的“头”完全截获下来提供 分析。它支持针对网络层、协议、主机、网络或端口的过滤，并提供and、or、 not等逻辑语句来帮助你去掉无用的信息。 常用选项介绍 -c ：在收到指定的数量的分组后，tcpdump就会停止; -f ：将外部的Internet地址以数字的形式打印出来; -i ：指定监听的网络接口; -n ：不把网络地址转换成名字; -nn：不进行端口名称的转换; -s：从每个分组中读取最开始的snaplen个字节，而不是默认的68个字节; -w：直接将分组写入文件中，而不是不分析并打印出来; -v：输出一个稍微详细的信息，例如在ip包中可以包括ttl和服务类型的信息; -vv：输出详细的报文信息; -x：可以列出十六进制 (hex) 以及 ASCII 的封包内容，对于监听封包内容很有 用;
精确分析http协议包
就以M+和CRM之间的消息为例。 1. 首先将数据包用wireshark打开，然后Follow TCP Stream。
精确分析http协议包
2. 将得到的字符串复制到UltraEdit中。 3. 然后按照xml格式进行着色和格式化，就能得到容易查看的数据。
精确分析diameter协议包
分析数据包的基本步骤
1
• 进行数据包筛选 • 进行数据包简略分析
2
3
• 对照协议进行精确分析
进行数据包筛选
数据包筛选就是根据不同的需要，设置不同的条件进行数据包筛选，从而 快速定位。 按照协议筛选
进行数据包筛选
按照协议字段进行更精确的筛选
进行数据包筛选
按照源地址和目的地址筛选
进行数据包筛选
4. 然后根据协议进行数据块分段。
精确分析diameter协议包
5. 然后逐个字段进行解析，得到字符串，就可以检查是否正确了。
Thanks!
TCPdump应用举例
在应用中往往需要截获整个包的长度，避免域名解析后的结果不直观，保 存抓包文件但同时在过程中也想知道实时状态，因此下面的例子都以这个条件 为前提。 1.截获10.0.2.6收到和发出的数据包。 tcpdump -i any -xns0 host 10.0.2.6 -w myhost.cap -vv 2. 截获8080端口的数据包。 tcpdump -i any -xns0 port 8080 -w myhost.cap -vv
TCPdump表达式介绍
常用表达式介绍
第一种是关于类型的关键字，主要包括host，net，port，例如 host 210.27.48.2， 指 明 210.27.48.2是一台主机，net 202.0.0.0指明202.0.0.0是一个网络地址，port 23 指明端口 号是23。如果没有指定类型，缺省的类型是host。 第二种是确定传输方向的关键字，主要包括src，dst，dst or src，dst and src， 这些关 键字指明了传输的方向。举例说明，src 210.27.48.2 ，指明ip包中源地址是 210.27.48.2 ， dst net 202.0.0.0 指明目的网络地址是202.0.0.0。如果没有指明 方向关键字，则缺省是src or dst关键字。 第三种是协议的关键字，主要包括fddi，ip, arp，rarp, tcp，udp等类型。Fddi指明是 在FDDI (分布式光纤数据接口网络)上的特定的网络协议，实际上它是”ether”的别名，fddi 和ether 具有类似的源地址和目的地址，所以可以将fddi协议包当作ether的包进行处理和 分析。 其他的几个关键字就是指明了监听的包的协议内容。如果没有指定任何协议，则 tcpdump 将会 监听所有协议的信息包。 除了这三种类型的关键字之外，其他重要的关键字如下： gateway， broadcast，less， greater， 还有三种逻辑运算，取非运算是 ‘not ' '! ‘， 与运算是’and’，’&&';或运算 是’or’ ，’||’； 这些关键字可以组合起来构成强大的组合条件来满足人们的 需要。
3. 截获10.0.2.6和10.0.5.227之间的数据包。
tcpdump -i any -xns0 host 10.0.2.6 and 10.0.5.227 -w hosts.cap -vv 4. 截获10.0.2.0/24这个网段的数据包 tcpdump -i any -xns0 net 10.0.2.0/24 -w mynet.cap -vv
进行数据包简略分析
设置数据包时间显示格式。
按照不同需要设置时间显示方式，这样就更容易进行分析判定。
进行数据包简略分析
设置数据包时间显示格式。
按照前面的时间格式设置后，显示如下，就比较符合我们的习惯。
对照协议进行精确分析
当通过初略分析无法定位问题的时候就需要进行精确分析了。 精确分析的最终目的就是将抓到的数据包解析成我们能够看懂的信息。
按照端口进行筛选
进行数据包筛选
按照目的端口进行筛选
进行数据包筛选
按照协议和IP地址筛选
进行数据包简略分析
wireshark能对一些常用的协议进行解码，因此当获取到需要的包之后，就 能够进行简要地分析。 从下图中的数据中可以看出主叫，被叫，消息内容
进行数据包简略分析
因为大部分的业务数据都是通过TCP协议传输的，因此也可以采用wireshark 自带的Follow TCP Stream来显示数据，更容易观察。