ubuntu抓包,centos抓包命令
Linux下Wireshark的网络抓包使用方法
Wireshark是世界上最流行的网络分析工具。这个强大的工具可以捕捉网络中的数据,并为用户提供关于网络和上层协议的各种信息。
与很多其他网络工具一样,Wireshark也使用pcap network library来进行封包捕捉。
Wireshark的优势:
-安装方便。
-简单易用的界面。
-提供丰富的功能。
Wireshark的原名是Ethereal,新名字是2006年起用的。当时Ethereal的主要开发者决定离开他原来供职的公司,并继续开发这个软件。但由于Ethereal这个名称的使用权已经被原来那个公司注册,Wireshark这个新名字也就应运而生了。
Wireshark目前世界上最受欢迎的协议分析软件,利用它可将捕获到的各种各样协议的网络二进制数据流翻译为人们容易读懂和理解的文字和图表等形式,极大地方便了对网络活动的监测分析和教学实验。它有十分丰富和强大的统计分析功能,可在Windows,Linux和UNIX等系统上运行。此软件于1998年由美国Gerald Combs首创研发,原名Ethereal,至今世界各国已有100多位网络专家和软件人员正在共同参与此软件的升级完善和维护。它的名称于2006年5月由原Ethereal改为Wireshark。至今它的更新升级速度大约每2~3个月推出一个新的版本,2007年9月时的版本号为0.99.6。但是升级后软件的主要功能和使用方法保持不变。它是一个开源代码的免费软件,任何人都可自由下载,也可参与共同开发。
Wireshark网络协议分析软件可以十分方便直观地应用于计算机网络原理和网络安全的教学实验,网络的日常安全监测,网络性能参数测试,网络恶意代码的捕获分析,网络用户的行为监测,黑客活动的追踪等。因此它在世界范围的网络管理专家,信息安全专家,软件和硬件开发人员中,以及美国的一些知名大学的网络原理和信息安全技术的教学、科研和实验工作中得到广泛的应用。
在安装新旧版本软件包和使用中,Ethereal与Wireshark的一些细微区别如下:
(1)Ethereal软件安装包中包含的网络数据采集软件是winpcap 3.0的版本,保存捕获数据时只能用英文的文件名,文件名默认后缀为.cap
(2)Wireshark软件安装包中,目前包含的网络数据采集软件是winpcap 4.0版本,保存捕获数据时可以用中文的文件名,文件名默认后缀为.pcap。另外,Wireshark可以翻译解释更多的网络通信协议数据,对网络数据流具有更好的统计分析功能,在网络安全教学和日常网络监管工作中使用更方便,而基本使用方法仍然与Ethereal相同。
winpcap(windows packet capture)是windows平台下一个免费,公共的网络访问系统。开发winpcap这个项目的目的在于为win32应用程序提供访问网络底层的能力。
在Linux下,当我们需要抓取网络数据包分析时,通常是使用tcpdump抓取网络raw数据包存到一个文件,然后下载到本地使用wireshark界面网络分析工具进行网络包分析。
最近才发现,原来wireshark也提供有Linux命令行工具-tshark。tshark不仅有抓包的功能,还带了解析各种协议的能力。下面我们以两个实例来介绍tshark工具。
1、安装方法
CentOS:
复制代码代码如下:yum install-y wireshark
Ubuntu:
复制代码代码如下:apt-get install-y tshark
2、实时打印当前http请求的url(包括域名)
复制代码代码如下:
tshark-s 512-i eth0-n-f'tcp dst port 80'-R'http.host and http.request.uri'-T fields-e http.host-e http.request.uri-l| tr-d'\t'
下面介绍参数含义:
-s 512:只抓取前512个字节数据
-i eth0:捕获eth0网卡
-n:禁止网络对象名称解析
-f‘tcp dst port 80′:只捕捉协议为tcp,目的端口为80的数据包
-R‘http.host and http.request.uri’:过滤出http.host和http.request.uri
-T fields-e http.host-e http.request.uri:打印http.host和http.request.uri
-l:输出到标准输出
3、实时打印当前mysql查询语句
复制代码代码如下:
tshark-s 512-i eth0-n-f'tcp dst port 3306'-R'mysql.query'-T fields-e mysql.query
下面介绍参数含义:
-s 512:只抓取前512个字节数据
-i eth0:捕获eth0网卡
-n:禁止网络对象名称解析
-f‘tcp dst port 3306′:只捕捉协议为tcp,目的端口为3306的数据包
-R‘mysql.query’:过滤出mysql.query
-T fields-e mysql.query:打印mysql查询语句
tshark使用-f来指定捕捉包过滤规则,规则与tcpdump一样,可以通过命令man pcap-filter来查得。
tshark使用-R来过滤已捕捉到的包,与界面版wireshark的左上角Filter一致。
Ubuntu抓取WIFI(802.11)报文详细步骤
Ubuntu下抓取WIFI(802.11)报文的详细步骤
首先,确认你的无线网卡是否支持监听模式。通过运行命令检查网卡模式,如Intel网卡支持monitor模式,而联发科和瑞昱暂不支持。若不支持,可能需要更换网卡。
接下来,安装必要的软件包。对于Wi-Fi数据包操作,aircrack-ng工具包必不可少,它包含airmon-ng、airodump-ng、aireplay-ng等工具,用于捕获、分析和破解无线网络信息。
同时,net-tools包也十分重要,提供了ifconfig、route等命令,用于网络配置管理和监控,如查看网络接口参数,设置路由表等。
在进行Wi-Fi抓包前,确认网卡工作在监听模式。通常,网卡名称会变为wlp5s0mon,表示它已进入监听状态。监听频段可以选择20Hz、40Hz、80Hz或160Hz,根据需要进行调整。
若在wireshark中未接收到数据,可能需要先修改网卡设置,然后重启wireshark。在抓包完毕后,记得将网卡恢复到正常模式,以便于其他网络功能的正常使用。
Ubuntu 抓取sniffer
Ubuntu环境下抓取sniffer的步骤如下:
在Ubuntu 20.04系统上,使用小米笔记本Pro 15进行操作,首先安装Wireshark。安装过程中,系统会询问是否允许非超级用户捕获数据包,选择“是”以获取更多权限。安装完成后,开始进行抓包设置。
使用ifconfig命令检查网络接口,小米笔记本的网口通常为wlp0s20f3,而非wlan0。为了进行监听(monitor模式),需要将网口切换到monitor模式。此时,wlp0s20f3会变为wlp0s20f3mon,但请注意,开启monitor模式后网络连接会暂时中断。
打开Wireshark,选择wlp0s20f3mon开始抓取数据包。然而,每次抓包前,你需要根据实际情况调整channel(频率)和bw(带宽)。例如,连接到特定WiFi AP后,可以通过iw wlan0 link命令查看当前的freq和bw值,如果没有显示,还可以借助WiFi魔盒进行查看。
根据获取的channel信息(如100信道),设置Wireshark的抓包参数,可以选择20M、40M或80M的带宽。设置完毕后,进行抓包操作。
最后,抓包结束后,记得关闭monitor模式,恢复网络连接。以上就是使用Ubuntu进行sniffer抓包的基本流程。
