抓封包工具(wireshark) 指令相關用法


Posted by chenchih on 2021-07-14

今天我想跟大家分享這個很都要用不錯的抓封包工具。外面有很多不同家的工具,我今天只要是介紹wrireshark,大家可以去她管網找看看,他是免費,window/MAC/Linux都可以用。

首先一般我們都是用它來抓ethernet 包,如果妳們要用它來抓wifi包,可能跟你的WIFI driver相關。以目前我的經驗是只有MAC可以用wireshark來爪WIFI包。Window 都要用omnipeek 這個工具(他不是免費)。

LINUX 用指令下抓封包,傳到你server

syntax: tcpdump -i interface -s 0 -w filename.pcap&

  1. 先檢查你要抓的INTERFACE 如 ETH0 OR ETH1
  2. 下指令 tcpdump -i ETH0 -s 0 -w ETH0.pcap&
  3. 不想抓了,請砍掉他的process
    ps |grep tcp
    kill xxxx
    
  4. 把檔案傳檔案到你自己server
    可以用tft or ftp,我用tftp
    tftp -l ETH0.pcap -p IPaddress

基本wireshark filter 參數

以下是最常會用到的篩選參數,由於他抓取很所有的網路的包,所以我們只能用篩選的方式,方便我們想要看的包。如果把參數移掉,你就會看到很多比封包,不容易找。

Description filter command
dhcpV4 filter MAC address bootp.hw.mac_addr ==XX:XX:XX:XX:XX:XX
dhcpV6 filter MAC address dhcpv6.duidll.link_layer_addr == “XX:XX:XX:XX:XX:XX”
dhcpV6 filter MAC address dhcpv6.duid.bytes == 00:03:00:01:84:0B:7C:0F:2A:8C”
dhcpV6 IP address dhcpv6.iaaddr.ip == 2002:XXXX::XXX
dns query dns.qry.name == “XXX.XX.com

抓長時間,只抓取你篩選的條件

如果用上面方法抓整晚,你的電腦會暴掉。原因是因為,上面方式只是呈現好看,他其實是在抓所有封包,然後你用的參數只是篩選你要的條件。篩選參數只是篩出你要看的,但他並不是只抓你篩選的。

我會教你只篩選你要抓的包,不抓其他你不想要的包,這樣你抓幾天都沒問題。


#wireshark #Network







Related Posts

Day 100

Day 100

D59_W7

D59_W7

[ week 1 ] 相對 絕對 傻傻分不清楚

[ week 1 ] 相對 絕對 傻傻分不清楚


Comments