目標
實現抓取遠端伺服器的資料包在wireshark中展示,不需要頻繁使用tcpdump抓包後儲存為cap資料包,在進行從伺服器下載進行解析;
工具
1.ssh
win10預設沒有開啟ssh服務端的,開啟方式:搜尋-->可選功能-->新增功能-->openSSH伺服器-->安裝即可
2.wireshark抓包工具
官網下載:Wireshark · Download
本人提供的阿里雲盤下載連結:https://www.aliyundrive.com/s/XDHMTb835TU
3.tcpdump命令
1.先檢視目標伺服器是否安裝,tcpdump --version,出現以下資訊,則已安裝
tcpdump version 4.9.2
libpcap version 1.5.3
OpenSSL 1.0.2k-fips 26 Jan 2017
2.如果沒有安裝,直接使用yum快速進行安裝,不在介紹其他安裝方式
yum install tcpdump
使用
1.tcpdump
這裡只做簡單介紹,能夠抓取到想要資料包即可
引數:
-i: 需要抓包的網路卡
-s: 設定資料包大小,設定為“0”時,使用預設資料包大小
-S 將tcp的序列號以絕對值形式輸出,預設相對值
-l :(小寫的 L )不快取,直接輸出
-w -:將原始資料包寫入檔案,“ - ”表示使用標準輸出
-nn 不進行埠名稱的轉換,預設轉換,比如22埠會顯示ssh
-w 儲存抓到的包,一般.cap格式
-v 輸出更詳細的報文資訊,可以多個v一起使用,如-vvvv
src host 指定源ip
dst host 指定目的ip
src port 指定源埠
dst port 指定目的埠
or|and|nor 與或非
2.wireshark
簡單使用
1.抓取本地的包,看到我wifi網路卡有資料傳輸,雙擊即可他即可進行抓包
2.右鍵指定的資料行-》追蹤流-》tcp流 http流 等,就可以看到對應的資料包了
3.常用的篩選命令
eq == 等於ne
!= 不等於gt
> 比…大lt
< 比…小 ge
>= 大於等於le
<= 小於等於 and
|| 且 or
&& 或 not
! 取反
過濾http請求的uri中含有/dll/test.htm?欄位的請求資訊
http.request.uri contains “/dll/test.htm?”
過濾包含81:60:03的udp資料包
udp contains 81:60:03
matches 匹配過濾條件中給定的正規表示式
http.request.uri matches "表示式"
過濾經過指定域名的http資料包
1.http.host==magentonotes.com
2.http.host contains magentonotes.com
過濾指定http響應狀態碼
http.response.code==200
過濾所有的http響應包
http.response==1
過濾所有的http請求包
http.request==1
過濾所有請求方式為POST的http請求包,注意POST為大寫
http.request.method==POST
過濾請求的uri,取值是域名後的部分
http.request.uri=="/demo/test"
過濾http頭中server欄位含有nginx字元的資料包
http.server contains "nginx"
過濾content_type是text/html的http響應、post包,即根據檔案型別過濾http資料包
http.content_type == “text/html”
3.ssh+wireshark+tcpdump(重點)
這裡將介紹如何進行抓取遠端的伺服器資料包
1.進入到wireshark的安裝目錄,在目錄欄輸入cmd
2.輸入命令:ssh root@192.168.1.10 -p 22 "tcpdump -i eth0 -n tcp port 8080 -s 0 -l -w -" | "wireshark.exe" -k -i -
注意:192.168.1.10為自己的伺服器地址,eth0為指定網路卡,8080為指定抓取的埠,這些自己根據實際情況調整引數,如果抓不到包,指定網路卡,或者檢視自己的過濾條件
3.回車會彈出wireshark,返回到cmd介面,輸入yes,然後提示輸入伺服器密碼,然後輸入密碼
4.大功告成,這樣不僅免去了使用tcpdump在伺服器抓包儲存後,再使用wireshark進行解析繁瑣操作,直接配合wireshark過濾實時觀察解析伺服器的資料包,大大提高平時開發過程中的效率
感謝各位小夥伴閱讀到最後,如有錯誤,敬請指正。