當(dāng)前位置：首頁(yè) > 运维知识 > linux >内容正文

linux

linux抓包操作,linux/windows常用抓包分析操作

發(fā)布時(shí)間：2023/12/31 linux 23 豆豆

生活随笔收集整理的這篇文章主要介紹了 linux抓包操作,linux/windows常用抓包分析操作小編覺(jué)得挺不錯(cuò)的,現(xiàn)在分享給大家,幫大家做個(gè)參考.

windows：Wireshark抓包，打開wireshark，選擇抓包的網(wǎng)卡，輸入過(guò)濾條件，常用過(guò)濾條件：

1、過(guò)濾IP: ip.addr == 192.168.21.45

2、過(guò)濾端口：tcp.port == 5060 || udp.port == 5060

3、根據(jù)消息協(xié)議過(guò)濾，如：sip，sip.Call-ID == "MTI2Y2YyMD"， rtp, rtp.ssrc == 12345, http等

注：! && || 非且或3個(gè)符號(hào)linux/win通用，不喜歡寫 not and or

本機(jī)抓包：本機(jī)發(fā)送到本機(jī)的數(shù)據(jù)包不會(huì)經(jīng)過(guò)網(wǎng)卡，無(wú)法抓到包，需要設(shè)置路由

route add 本機(jī)ip mask 255.255.255.255 網(wǎng)關(guān)ip

如：route add 92.168.136.200 mask 255.255.255.255 192.168.128.1

使用完畢后用route delete 192.168.136.200 mask 255.255.255.255 192.168.128.1刪除，否則所有本機(jī)報(bào)文都經(jīng)過(guò)網(wǎng)卡出去走一圈回來(lái)很耗性能。

linux 抓包：需要安裝tcpdump，可以直接yum或apt-get install tcpdump 安裝，不能連網(wǎng)的話下載rpm包安裝，需要下載libpcap和tcpdump的rpm包，rpm -Uvh +rpm包安裝即可，

libpcap rpm包官方下載地址：http://www.rpmfind.net/linux/rpm2html/search.php?query=libpcap&submit=Search+...&system=&arch=

tcpdump?rpm包官方下載地址：http://www.rpmfind.net/linux/rpm2html/search.php?query=tcpdump

這兩地址就是在http://www.rpmfind.net/上搜一下libpcap和tcpdump就出來(lái)了，搬到csdn上賺c幣騙小白不厚道。收藏好http://www.rpmfind.net/，好東西。

常用抓包命令：

1、-i 指定網(wǎng)卡如eth0, ip addr 看下，如果安裝了k8s虛擬網(wǎng)卡太多，可以 ip addr|grep 192.168 快速找到，可以不指定，設(shè)為any 即可。

2、host 指定ip， port 指定端口，可以加tcp或udp限定協(xié)議，-vn 打印， -w 輸出到文件，再拷貝到win上用wireshark打開。

簡(jiǎn)單的看下信令，直接打印即可：

tcpdump -i any udp port 5060 -vn (打印5060端口抓到的包)

寫到文件：

tcpdump -i any udp port 5060 -vn -w sip.pcap

tcpdump -i any host 192.168.12.34 -vn -w sip.pcap 指定ip抓

加了-vn會(huì)提示抓到多少個(gè)包，ctrl +c 結(jié)束后拷貝sip.pcap 用wireshark打開分析。

wireshark分析技巧：

1、分析sip中會(huì)話流程(如invite流程)可過(guò)濾call-id, 見(jiàn)上面win過(guò)濾。

2、分析rtp：如果沒(méi)有顯示數(shù)據(jù)為rtp包，可選中一個(gè)包，右鍵選擇“解碼為”(倒數(shù)第二個(gè)選項(xiàng))，“當(dāng)前“選擇RTP(快速輸入RTP會(huì)跳轉(zhuǎn))

OK解碼成rtp包后，選擇電話-->RTP-->流分析

確認(rèn)后就可分析出流的丟包、亂序等問(wèn)題

左邊寫了，丟包28個(gè)占2.25%，亂序1個(gè)，將流保存下來(lái)，把后綴名強(qiáng)行改為.ps 或.h264/h265，即可播放，h264可以用eseye_u分析，h265的ps流的話只能用ffmpeg播，vlc播不了，若ps 流打包有問(wèn)題，可以看另一篇“最簡(jiǎn)單的h264/h265/svac和g711封裝成ps流”具體分析，常見(jiàn)的問(wèn)題是h265打包成了264。

保存時(shí)一定要選擇為raw原始數(shù)據(jù)，保存后再改后綴。

附：國(guó)標(biāo)接入或級(jí)聯(lián)某些小廠家時(shí)可能會(huì)出現(xiàn)視頻下半截放不出來(lái)，這種現(xiàn)象90%是發(fā)送方pes包沒(méi)處理好，pes包最大65535(u_short)。

如果是下半截嚴(yán)重花屏，多半是發(fā)送方?jīng)]有做流量峰值控制，接收方擴(kuò)大緩沖區(qū)可以解決，但容易丟包。簡(jiǎn)單的峰值控制定時(shí)循環(huán)時(shí)設(shè)置最大發(fā)送rtp包數(shù)即可。

海康h265的ps流中有0x00 0x00 0x01 0xbd字段，不知道啥用，注意解ps流時(shí)去掉它附帶的數(shù)據(jù)就行。

總結(jié)

以上是生活随笔為你收集整理的linux抓包操作,linux/windows常用抓包分析操作的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。

上一篇： WX计数器统计器使用教程
下一篇： linux使用进程抓包,netstat、