今天我想跟大家分享這個很都要用不錯的抓封包工具。外面有很多不同家的工具,我今天只要是介紹wrireshark,大家可以去她管網找看看,他是免費,window/MAC/Linux都可以用。
首先一般我們都是用它來抓ethernet 包,如果妳們要用它來抓wifi包,可能跟你的WIFI driver相關。以目前我的經驗是只有MAC可以用wireshark來爪WIFI包。Window 都要用omnipeek 這個工具(他不是免費)。
LINUX 用指令下抓封包,傳到你server
syntax: tcpdump -i interface -s 0 -w filename.pcap&
- 先檢查你要抓的INTERFACE 如 ETH0 OR ETH1
- 下指令
tcpdump -i ETH0 -s 0 -w ETH0.pcap&
- 不想抓了,請砍掉他的process
ps |grep tcp kill xxxx
- 把檔案傳檔案到你自己server
可以用tft or ftp,我用tftp
tftp -l ETH0.pcap -p IPaddress
基本wireshark filter 參數
以下是最常會用到的篩選參數,由於他抓取很所有的網路的包,所以我們只能用篩選的方式,方便我們想要看的包。如果把參數移掉,你就會看到很多比封包,不容易找。
Description | filter command |
---|---|
dhcpV4 filter MAC address | bootp.hw.mac_addr ==XX:XX:XX:XX:XX:XX |
dhcpV6 filter MAC address | dhcpv6.duidll.link_layer_addr == “XX:XX:XX:XX:XX:XX” |
dhcpV6 filter MAC address | dhcpv6.duid.bytes == 00:03:00:01:84:0B:7C:0F:2A:8C” |
dhcpV6 IP address | dhcpv6.iaaddr.ip == 2002:XXXX::XXX |
dns query | dns.qry.name == “XXX.XX.com |
抓長時間,只抓取你篩選的條件
如果用上面方法抓整晚,你的電腦會暴掉。原因是因為,上面方式只是呈現好看,他其實是在抓所有封包,然後你用的參數只是篩選你要的條件。篩選參數只是篩出你要看的,但他並不是只抓你篩選的。
我會教你只篩選你要抓的包,不抓其他你不想要的包,這樣你抓幾天都沒問題。