tcpdump常用参数以及wireshark密文解密
文章目录
- 一、tcpdump命令和常用参数
- 二、在wireshark中协议解析
tcpdump常用参数
一、tcpdump命令和常用参数
tcpdump常用命令:tcpdump -i eth0 src host 11.6.224.1 and udp port 161 -s 0 -w 161.pcap
(161为snmp协议的端口简单网络管理协议)
基本参数:
src指定方向,host指定地址过滤
udp指定协议,port指定端口过滤
-s 0:tcpdump 默认只会截取前 96 字节的内容,要想截取所有的报文内容,可以使用 -s number, number 就是你要截取的报文字节数,如果是 0 的话,表示截取报文全部内容
-w 指定保存到pcap文件
其他常用参数:
-n:不把ip转化成域名,直接显示 ip,避免执行 DNS lookups 的过程,速度会快很多
-nn:不把协议和端口号转化成名字,速度也会快很多。
-v:产生详细的输出. 比如包的TTL,id标识,数据包长度,以及IP包的一些选项。同时它还会打开一些附加的包完整性检测,比如对IP或ICMP包头部的校验和。
-vv:产生比-v更详细的输出. 比如NFS回应包中的附加域将会被打印, SMB数据包也会被完全解码。
-r 读取抓包文件
过滤规则:
举例:
// 过滤icmp协议
icmp
// 过滤arp和icmp
arp or icmp
// 过滤dhcp
udp port 67 or udp port 68
// 过滤主机ip
host 192.168.168.20
// 过滤源主机
src host 192.168.168.20
// 过滤目的主机
dst host 192.168.168.20
// 过滤二层mac地址
ether host 00:0e:5e:11:22:33
// 使用not排除
not ether host 00:0e:5e:11:22:33
// 过滤某一个网段
net 192.168.10.0/24
// 过滤端口范围
udp portrange 10000-65535
// 过滤网段和协议
net 192.168.10.0/24 and icmp
二、在wireshark中协议解析
如何配置协议的解析规则:
先找到【首选项】配置,如下,
选择【Protocols】项,由于这里协议非常多,支持协议首字母初步定为位置,在弹出的对话框中修改对应解析规则和业务一致即可:
