安装wireshark
sudo apt-get install wireshark
//以下给wireshark添加权限用来抓包
// 使普通用户也能使用dumpcap
sudo groupadd wireshark
sudo chgrp wireshark /usr/bin/dumpcap
sudo chmod 4755 /usr/bin/dumpcap
sudo gpasswd -a user_name wireshark
Filter设置过滤条件示例
tcp.port==8068 and http and ip.dst==114.55.85.45 and http.request.method=="POST"
使用tcpdump 抓包(需要root权限)
-B size #缓存大小,单位是KB
-c count #准备抓取包的数量
-C file_size #包输出文件最大size,单位是MB,大于它会新建一个文件
-E algo:secret
-F file #从文件输入表达式,命令行中的表达式将被忽略
-G seconds
-D #列出系统中所有的接口
-i interface #准备抓取哪个接口的包,如:-i eth5 表示准备抓取eth5上边的包
-j tstamptype
-M secret
--number
-Q in|out|inout
-r file
-s snaplen
-T type
--version #列出tcpdump版本号
-V file
-w file #指令包输出文件,一般设置成/storage/emulated/0/fetched.pcap
-W filecount #用来存储抓取到的包文件数量
-y datalinktype
-z command
-Z user
-v #
expression #类似指定host,src等
示例
// 通常跳到以下目录
cd /storage/emulated/0/
// 表达式(host 114.55.85.45)放在最后
tcpdump -i any -p -vv -s 0 -C 20 -W 1 -w fetched.pcap host 192.168.5.209
通过wireshark打开fetched.pcap,然后可以通过设置过滤条件得到你想要的包,如下:
2017-09-29 15-03-47屏幕截图.png
