之前与大家分享完了wireshark的基本功能和一些基础的过滤语法。本次介绍如果在不同的环境进行抓包,内容比较简单,专为不太熟悉如何进行抓包的小伙伴准备。
我们粗略的划分一下需要抓包的点:主机(windows、linux)、网络设备(通常在网络交换机)
1. Window本地及远端抓包,之前文章已经介绍,需要安装wireshark,运行程序并选择相应的接口即可。
2. Linux 使用Tcpdump进行抓包,将抓取的数据包使用wireshark分析,tcpdump常用参数如下:
-i:interface,抓取指定接口的流量;
-v:verbose,显示抓包详细信息;
-w:write,保存到指定目录;
-c:couts,抓取指定数量的数据包;
-s:snaplen,数据包中截取的字节数,0为不截取;
-n/nn:不将ip转换成域名/不将端口转化为应用名称;
-X:将数据包以16进制和ASCII形式展示,和wireshark的数据包详情类似。
例如:tcpdump -i any -n -s0 -nn -w /etc/wireshark/test.pcap
3. 网络设备:通常在交换机路由器,配置镜像端口,将所需的流量”引流”至镜像端口,或者配置rspan,将远端的流量镜像至特定的switch。以下为常用网络厂商的端口镜像配置:
Cisco Nexus:
monitor session 1
description wiresharktest
source vlan 100 both
destination interface Ethernet4/1 primary
no shut
Cisco catalyst:
monitor session 1 source interface Gi1/1/0/1-8
monitor session 1 destination interface Gi2/1/0
华为 :
#观察口
observe-port 1 interface GigabitEthernet 0/0/1
#镜像源
interface GigabitEthernet0/0/2
port-mirroring to observe-port 1 both
华三:
Mirroring-group 1 local
#镜像口
Mirroring-group 1 monitor-port Gi1/0/1
#观察口
Mirroring-group 1 mirroring-port G1/0/2
文章版权声明
1 原创文章作者:汇维网,如若转载,请注明出处: https://www.52hwl.com/1750.html
2 温馨提示:软件侵权请联系469472785#qq.com(三天内删除相关链接)资源失效请留言反馈
3 下载提示:如遇蓝奏云无法访问,请修改lanzous(把s修改成x)
4 免责声明:本站为个人博客,所有软件信息均来自网络 修改版软件,加群广告提示为修改者自留,非本站信息,注意鉴别