tcpdump抓包分析tcp


tcpdump 抓包分析 tcp 三次握手四次挥手

一、tcpdump 简介

tcpdump 是一个运行在命令行下的数据包分析器。它允许用户拦截和显示发送或收到过网络连接到该计算机的 TCP/IP 和其他数据包。

二、tcpdump 使用方法

1. 基本用法

监视指定网络接口的数据包,这是个必需参数

tcpdump -i ens33

监视指定主机的数据包,打印所有进入或离开 truda 的数据包

tcpdump -i ens33 host truda

也可以指定 IP,例如截获所有 192.168.2.10 的主机收到的和发出的所有的数据包

tcpdump -i ens33 host 192.168.2.10

截获主机192.168.10.11和主机192.168.10.12192.168.10.13的通信

tcpdump -i ens33 host 192.168.10.11 and \(192.168.10.12 or 192.168.10.13 \)

2. 选项

-a:尝试将网络和广播地址转换成名称;
-c<数据包数目>:收到指定的数据包数目后,就停止进行倾倒操作;
-d:把编译过的数据包编码转换成可阅读的格式,并倾倒到标准输出;
-dd:把编译过的数据包编码转换成C语言的格式,并倾倒到标准输出;
-ddd:把编译过的数据包编码转换成十进制数字的格式,并倾倒到标准输出;
-e:在每列倾倒资料上显示连接层级的文件头;
-f:用数字显示网际网络地址;
-F<表达文件>:指定内含表达方式的文件;
-i<网络界面>:使用指定的网络截面送出数据包;
-l:使用标准输出列的缓冲区;
-n:不把主机的网络地址转换成名字;
-N:不列出域名;
-O:不将数据包编码最佳化;
-p:不让网络界面进入混杂模式;
-q :快速输出,仅列出少数的传输协议信息;
-r<数据包文件>:从指定的文件读取数据包数据;
-s<数据包大小>:设置每个数据包的大小;
-S:用绝对而非相对数值列出TCP关联数;
-t:在每列倾倒资料上不显示时间戳记;
-tt: 在每列倾倒资料上显示未经格式化的时间戳记;
-T<数据包类型>:强制将表达方式所指定的数据包转译成设置的数据包类型;
-v:详细显示指令执行过程;
-vv:更详细显示指令执行过程;
-x:用十六进制字码列出数据包资料;
-w<数据包文件>:把数据包数据写入指定的文件。

三、TCP/IP 三次握手四次挥手分析

1. 准备

操作系统:CentOS 7
网卡:ens33
分析目标:与 www.baidu.com 的 TCP/IP 三次握手四次挥手过程
分析工具:tcpdump

CentOS 安装 tcpdump:

yum install tcpdump -y

2. 抓包操作

通过ping操作获取www.baidu.com当前解析的 IP 地址:14.215.177.39
image.png

查看本地的 IP 地址
image.png

使用tcpdump监听本地与14.215.177.39的通信数据包

tcpdump -n -i ens33 host 192.168.2.34 and 14.215.177.39 >> /tmp/tcpdump.txt

image.png

使用 ping 操作添加干扰
image.png

使用curl访问www.baidu.com

curl http://www.baidu.com/

image.png

3. 分析

查看捕获的数据包内容

cat /tmp/tcpdump.txt

三次握手 🤝 过程
image.png
实训二 (2).png

四次挥手 👋 过程
image.png


文章作者: Truda
版权声明: 本博客所有文章除特別声明外,均采用 CC BY 4.0 许可协议。转载请注明来源 Truda !
评论
  目录