使用wireshark分析tcpdump出来的pcap文件
来源:互联网 发布:mac版同花顺公式 编辑:程序博客网 时间:2024/04/30 14:50
个人认为tcpdump+wireshark是很精确的,之前在网上查阅移动端流量测试,大多讲tcpdump这部分很精细,但是没有讲到详细使用wireshark分析tcpdump到的.pcap文件,这里做一个详细的讲解,仅供大家参考。
本人wireshark版本是V 2.2.1。tcpdump到的.pcap文件可以直接双击打开(默认打开方式为wireshark,或者你在wireshark中选择打开文件也可以),抓取到的数据包很多,我们需要过滤一些想要的数据,那么在如图所示的输入框中输入表达式过滤即可:
Wireshark的Filter内输入如下一些过滤条件,可以更加方便地分析数 据来源。
tcp.port== 80 //过滤来自80端口的TCP数据
udp.port== 12345 //过滤来自12345端口的UDP数据
ip.src== 192.168.0.1 //过滤源IP为192.168.0.1的数据
ip.dst== 192.168.0.1 //过目的IP为192.168.0.1的数据
以上过滤条件可以用and跟or相互组合,例如
tcp.port== 80 and ip.src == 192.168.0.1 //过滤来自80端口,源IP为192.168.0.1的TCP数
udp.port== 12345 or ip.dst == 192.168.0.1 //过滤来自12345端口的UDP数据,或者目的IP为192.168.0.1的数据
PS:
wireshark面板介绍:
1. Display Filter(显示过滤器), 用于过滤
2. Packet List Pane(封包列表), 显示捕获到的封包, 有源地址和目标地址,端口号。 颜色不同,代表不同的数据流
3. Packet Details Pane(封包详细信息), 显示封包中的字段
4. Dissector Pane(16进制数据)
5. Miscellanous(地址栏,杂项)
封包详细信息:
Frame: 物理层的数据帧概况
Ethernet II: 数据链路层以太网帧头部信息
Internet Protocol Version 4: 互联网层IP包头部信息
Transmission Control Protocol: 传输层T的数据段头部信息,此处是TCP
Hypertext Transfer Protocol: 应用层的信息,此处是HTTP协议
wireshark与对应的OSI七层模型:
封包详细内容中,TCP包具体内容:
实例分析TCP三次握手:
上图是TCP三次握手的过程图,那么在wireshark上,我们也可以看到这个过程:
打开浏览器和wireshark,任意输入并浏览一个网址,然后在wireshark中,找到protocol为TCP的数据包,右键->追踪流->TCP流,既可以看到两台主机之间,进行的通信:
图中可以看到wireshark截获到了三次握手的三个数据包。第四个包才是HTTP的, 这说明HTTP的确是使用TCP建立连接的。
客户端发送一个TCP,标志位为SYN,序列号为0, 代表客户端请求建立连接。 如下图
服务器发回确认包, 标志位为 SYN,ACK. 将确认序号(Acknowledgement Number)设置为客户的I S N加1以.即0+1=1, 如下图:
客户端再次发送确认包(ACK) SYN标志位为0,ACK标志位为1.并且把服务器发来ACK的序号字段+1,放在确定字段中发送给对方.并且在数据段放写ISN的+1, 如下图:
下面附上一张本人喜欢的TCP通讯图:
其他通信过程分析同上,就不在这里继续分析了。
回到具体问题,我们知道了这些wireshark的面板中,各项中,字段含义,那么怎么知道一步操作具体使用了多少流量呢?
前提:清除掉你的应用缓存,不然不能得到你想要的数据。
1.使用过滤器,过滤出你想要的数据包(此步可以省略);
2.找到你想统计的主机地址和目的地址通信的包,右键,追踪流,TCP流,如图:
3.在筛选出的TCP Stream中,将各条记录的Length进行求和,即可得到总的大小;
当然,这里wireshark给我们提供了一个简单的方法,查看流量的统计结果:
点击 统计,端点;在弹出来的窗口中,选择TCP,勾选“显示过滤器的限制”,如图所示:
PS:这部分是之和,是包含了TCP连接所消耗的数据,如果你想剔除这部分数据,那么,可以(右键->追踪流->TCP流),这样,可以在左下角看到有个entire conversation(114kB),及不包含TCP连接的通信数据流量为114KB;
如果以上有错误的地方,欢迎指点!
那么这种流量获取方法,学会了,是不是觉得有些麻烦呢,流量可以实现自动化吗?请看作者下一篇文章:自动化脚本之流量。
- 使用wireshark分析tcpdump出来的pcap文件
- 构建tcpdump/wireshark pcap文件
- Linux使用tcpdump命令抓包保存pcap文件wireshark分析
- Linux使用tcpdump命令抓包保存pcap文件wireshark分析
- 使用PYTHON解析Wireshark的PCAP文件
- pcap文件分析-上之wireshark工具使用
- Wireshark的Pcap文件格式分析
- Wireshark的Pcap文件格式分析
- wireshark文件pcap的格式
- tcpdump+wireshark的使用
- WireShark抓包的pcap文件格式分析
- WireShark抓包的pcap文件格式分析
- tcpdump抓包+wireshark分析配合使用
- tcpdump使用与Wireshark抓包分析
- pcap文件分析的学习
- wireshark--pcap包格式分析
- pcap/cap文件关联wireshark
- Wireshark(Etherea)的Pcap文件格式分析1
- 基于Spring + Spring MVC + Mybatis 高性能web构建
- Codeforces Gym 100463D Evil DFS
- netty的IM项目小结
- Java I/O工作机制
- 【Leetcode】367. Valid Perfect Square
- 使用wireshark分析tcpdump出来的pcap文件
- 区块链在银行业的应用
- Android 适配带虚拟按键的手机
- Android手机屏幕变化监听
- DataBinding使用教程详解
- JVM初探- 内存分配、GC原理与垃圾收集器
- Unity结合C++开发服务器实现多人游戏(七)
- 浅谈Android实现夜间模式一
- View工作原理
