1、输入ifconfig,查看linux服务器网卡和ip
2、安装tcpdump
3、例子:抓取网卡eht0 及192.168.168.18ip和8081端口
tcpdump -i eht0 -w file.cap host 192.168.168.18 and tcp port 8081; -w :参数指定将监听到的数据包写入文件中保存,file.cap就是该文件。 -i :参数指定tcpdump监听的网络界面。
抓取到文件之后我将文件传到我的windows上面,这里就涉及到一个如何打开cap文件的问题;
Wireshark的Filter内输入如下一些过滤条件,可以更加方便地分析数据来源:
tcp.port== 80 //过滤来自80端口的TCP数据
udp.port== 12345 //过滤来自12345端口的UDP数据
ip.src== 192.168.0.1 //过滤源IP为192.168.0.1的数据
ip.dst== 192.168.0.1 //过目的IP为192.168.0.1的数据
以上过滤条件可以用and跟or相互组合,例如
tcp.port== 80 and ip.src == 192.168.0.1 //过滤来自80端口,源IP为192.168.0.1的TCP数
udp.port== 12345 or ip.dst == 192.168.0.1 //过滤来自12345端口的UDP数据,或者目的IP为192.168.0.1的数据
封包详细内容中,TCP包具体内容:
实例分析TCP三次握手
打开浏览器和wireshark,任意输入并浏览一个网址,然后在wireshark中,找到protocol为TCP的数据包,右键->追踪流->TCP流,既可以看到两台主机之间,进行的通信:
图中可以看到wireshark截获到了三次握手的三个数据包。第四个包才是HTTP的, 这说明HTTP的确是使用TCP建立连接的。
客户端发送一个TCP,标志位为SYN,序列号为0,代表客户端请求建立连接。 如下图:
服务器发回确认包, 标志位为 SYN,ACK. 将确认序号(Acknowledgement Number)设置为客户的ISN加1以.即0+1=1, 如下图:
客户端再次发送确认包(ACK) SYN标志位为0,ACK标志位为1.并且把服务器发来ACK的序号字段+1,放在确定字段中发送给对方.并且在数据段放写ISN的+1, 如下图:
TCP三次握手四次挥手过程:
回到具体问题,我们知道了这些wireshark的面板中,各项中,字段含义,那么怎么知道一步操作具体使用了多少流量呢?
前提:清除掉你的应用缓存,不然不能得到你想要的数据。
1.使用过滤器,过滤出你想要的数据包(此步可以省略);
2.找到你想统计的主机地址和目的地址通信的包,右键,追踪流,TCP流,如图:
3.在筛选出的TCP Stream中,将各条记录的Length进行求和,即可得到总的大小;
当然,这里wireshark给我们提供了一个简单的方法,查看流量的统计结果:
点击统计,端点;在弹出来的窗口中,选择TCP,勾选“显示过滤器的限制”,如图所示:
这部分是之和,是包含了TCP连接所消耗的数据,如果你想剔除这部分数据,那么,可以(右键->追踪流->TCP流),这样,可以在左下角看到有个entire conversation(114kB),及不包含TCP连接的通信数据流量为114KB;
