本记录旨在记录自己入门流量分析的整个过程,从抓包开始,主要的工作环境为Linux,偶尔会用到Windows上的wireshark进行流量包的查看(不用Linux查看pcap包的原因——大多使用的是无界面的server版Linux),因此抓包的工具为tcpdump,暂用python进行流量内容的解析。
tcpdump使用基础
tcpdump是一个通用的命令行包分析工具,它能够实现将计算机的网络包显示出来。
- tcpdump的具体用法如下(主要是常用的参数):
- 获取host主机portnum端口eth0网卡的tcp协议数据包,并保存为store.pcap
tcpdump tcp -i eth0 src host hostname and port portnum -w store.pcap - tcpdump的分段保存机制
- tcpdump -C 1 -w size.pcap //将流量保存为1MB大小的数据包,数据包会依次保存为:size.pcap size.pcap1 size.pcap2 ……
- tcpdump -G 1 -w %Y%m%d%H%M%S.pcap //将抓取的流量按时间保存,每秒保存一次,数据包依次会保存为:20190311130701.pcap 20190311130702.pcap 20190311130703.pcap ……
- 获取host主机portnum端口eth0网卡的tcp协议数据包,并保存为store.pcap