wireshark抓包分析【开发记录】

作者:zcool321 浏览(1433) 评论(0)
  •  抓包

命令:tcpdump tcp -s 0 port 8888 -w test.cap 

linux上通过tcpdump命令进行数据报抓取,tcp协议,-s 0 抓取完整包(默认大小68字节),监控888端口,保存成test.cap文件

tcpdump命令详解:http://www.cnblogs.com/ggjucheng/archive/2012/01/14/2322659.html

  • 文件分析

通过wireshark打开test.cap文件,就可以进行分析了。

首先对连接和断开进行分析,看是否有异常情况。

网上找了个链接和断开的图片,不是很清楚凑合看。

上面图可以看出连接是syn标示,断开是fin标示,通过 tcp.flags.fin == 1 || tcp.flags.syn== 1 可以进行过滤找出,断开和连接的数据包。可以查看里面的时间点和stream index数据。

通过时间点或者tcp.stream == 7过滤进行会话跟踪,查看附近相关数据包,从而进行异常数据排查。

数据分析

我们发送的数据自己对协议都应该比较了解,tcp.len == 140对数据包进行过滤,查看具体协议内容,找出异常信息。

wireshark过滤语法:http://www.cnblogs.com/wangkangluo1/archive/2011/12/19/2293750.html


没有登录不能评论