tcpdump wireshark

发表于 | 分类于 | 阅读次数

tcpdump

common

  • -n 表示不要解析域名,直接显示 ip。
  • -nn 不要解析域名和端口
  • -X 同时用 hex 和 ascii 显示报文的内容。
  • -XX 同 -X,但同时显示以太网头部。
  • -S 显示绝对的序列号(sequence number),而不是相对编号。
  • -i any 监听所有的网卡
  • -v, -vv, -vvv:显示更多的详细信息
  • -c number: 截取 number 个报文,然后结束
  • -A: 只使用 ascii 打印报文的全部数据,不要和 -X 一起使用。截取 http 请求的时候可以用 sudo tcpdump -nSA port 80

filter

主要由 host(主机), net(网络) 和 port(端口) 组成。src 和 dst 也可以用来过滤报文的源地址和目的地址

1
2
3
4
5
6
7
8
9
tcpdump host 1.2.3.4

tcpdump src 2.3.4.5
tcpdump dst 3.4.5.6

tcpdump icmp

tcpdump port 3389
tcpdump portrange 21-23

1
2
tcpdump src port 1025 and tcp 
tcpdump udp and src port 53

导入导出

-w选项用来把数据报文输出到文件 所有 80 端口的数据导入到文件

1
tcpdump -w capture_file.pcap port 80

-r可以读取文件里的数据报文,显示到屏幕上。

1
tcpdump -nXr capture_file.pcap host web30

tcpreplay

tcpreplay man

1
tcpreplay -i eth1 -l 10 -M 1000 -K xx.pacp
  • -p –pps packets/sec
  • -M –mbps 1000Mbps(千兆) 10Gbps(万兆)
  • -l –loop Loop through the capture file X times. 默认1 0 循环不断
  • -i 输出网卡 Client to server/RX/primary traffic output interface.
  • -K 开始发送之前将指定的pcap加载到RAM中,以提高重播性能,减少硬盘IO影响,保证较为稳定的流量
  • -t,– topspeed 尽快重播数据包

wireshark

suricata rule content in pcap file

1
alert http $HOME_NET any -> $EXTERNAL_NET any (msg:"TEST HTTP rule"; flow:established,to_server; content:"POST"; http_method; content:"UploadFox"; http_uri; metadata: former_category MALWARE; reference:md5,acad4be4c587b9db9f39268cc4c0c192; reference:md5,b07a6a590c729fcd47ebce37fdd6c90b; classtype:trojan-activity; sid:1; rev:3; metadata:created_at 2014_11_05, updated_at 2020_05_13;)