linux 抓包及 ethereal 抓包工具的使用方法 1. Linux 抓包 (1) 一般抓包命令 tcpdump -s0 -c 包数量 -i 网卡名-w 文件名 其中:-s0 表示应用层的 size 不受限制,用于详细分析。否则将被截断,即应用层消息可能不完整) -c 包数量到达某个数量后自动停止抓包,防止文件太大 -i 只抓某个网卡的消息,不抓其他网卡的消息 -w 抓到的消息自动存入文件中,但消息不再在显示器上显示了 例:tcpdump -s0 –c 10000 -i eth0 -w /tmp/1.cap 抓取本机 eth0 网卡上所有进出的消息,且应用层的消息是完整的,并存入/tmp 目录下的 1.cap 文件(.cap 是 ethereal 消息包文件的后缀名),如果在抓包过程中用户不使用 ctrl+c 来中断的话,抓到 10000 条消息后自动停止抓包。如果中途被中断,文件中存放的是中断之前的消息。 (2) 指定交互双方的抓包命令 tcpdump host 192.168.0.2 and 192.168.0.3 –s0 –w /tmp/2-3.cap 只抓这 2 台主机之间交互的消息,其它消息被过滤掉。 由于 ethereal 工具功能强大,所以尽管 tcpdump 命令有许多参数可以达到许多过滤条件,但把这些事交给ethereal 来做,我们就更省力。 2. ethereal 抓包工具的使用方法 把 xxx.cap 文件下载后,就可以使用 ethereal工具来分析了。当然也可在 linux机器上直接使用 ethereal 来抓包(需要安装rpm)而不用使用 tcpdump 命令。 现在介绍的是在 windows 电脑上启动 ethereal 程序,见下图: 选择菜单“file”-open 选择消息包文件: 打开: 选择菜单“statistics”-conv ersation list-tcp 通过对IP 地址的排序找到所关心的一次交互过程,在该条目上使用右键: 该次交互过程中的所有消息便显示出来,可以认真分析了。 ethereal 的显示区分为3 个区域: (1) 上区域:一次交互过程中的所有消息的概况, (2) 中区域:一条消息中的所有分层信息的解码, (3) 下区域:一条消息的16 进制码,当对中区域应用层的解码有疑问时,可 利用该区域中的16 进制码和相关协议进行再分析。 当发现问题以后,可以把该次交互过程的详细解码消息保存为文本文件进行交流。 选择菜单“file”-print 进行相关配置后,按“print”,多条消息的完整解码的文本文件就保存好了,见下图: Chenke 2010。5
