wireshark




混杂模式

保存为pcap格式(兼容性)

抓包筛选器
显示筛选器

包头source > 选中ip 右键 >作用为过滤应用

tcp/ip协议族

udp 无确认 不面向连接
tcp 确认 面向连接 三次握手(1.发送syn 2.返回syn,ack 3.发送ack)

dns协议 (应用层)
http协议(应用层) 80
ftp
pop3
smtp
ssl

数据流
右键,追随流



统计功能

解码方式:右键>解码为>

分析>专家信息


tcpdump 基于命令行
默认只抓68个字节
捕获过滤器
tcpdump -i eth0 -s 0 -w file.cap 抓取eth0的所有包保存到file.ca
tcpdump -i eht0 port 22 抓取22端口包

显示过滤器
tcpdump -n -r file.cap |awk ‘{print $3}’ |sort -u
awk 选出第三列
sort -u 除去重复

按源ip筛选
tcpdump -n src host ip -r b.cap

tcpdump高级筛选

文档记录工具

dradis
keepnote
truecrypt