使用wireshark分析tcpdump出来的pcap文件

最新推荐文章于 2026-05-16 08:56:46 发布
原创 最新推荐文章于 2026-05-16 08:56:46 发布 · 2.3w 阅读 · 54
标签
#测试 #tcpdump #wireshark #流量测试

个人认为tcpdump+wireshark是很精确的,之前在网上查阅移动端流量测试,大多讲tcpdump这部分很精细,但是没有讲到详细使用wireshark分析tcpdump到的.pcap文件,这里做一个详细的讲解,仅供大家参考。

本人wireshark版本是V 2.2.1。tcpdump到的.pcap文件可以直接双击打开(默认打开方式为wireshark,或者你在wireshark中选择打开文件也可以),抓取到的数据包很多,我们需要过滤一些想要的数据,那么在如图所示的输入框中输入表达式过滤即可:

Wireshark的Filter内输入如下一些过滤条件,可以更加方便地分析数 据来源。

tcp.port== 80 //过滤来自80端口的TCP数据
udp.port== 12345 //过滤来自12345端口的UDP数据
ip.src== 192.168.0.1 //过滤源IP为192.168.0.1的数据
ip.dst== 192.168.0.1 //过目的IP为192.168.0.1的数据
以上过滤条件可以用and跟or相互组合,例如
tcp.port== 80 and ip.src == 192.168.0.1 //过滤来自80端口,源IP为192.168.0.1的TCP数
udp.port== 12345 or ip.dst == 192.168.0.1 //过滤来自12345端口的UDP数据,或者目的IP为192.168.0.1的数据



PS:

wireshark面板介绍:


1. Display Filter(显示过滤器),  用于过滤
2. Packet List Pane(封包列表), 显示捕获到的封包, 有源地址和目标地址,端口号。 颜色不同,代表不同的数据流
3. Packet Details Pane(封包详细信息), 显示封包中的字段
4. Dissector Pane(16进制数据)
5. Miscellanous(地址栏,杂项)


封包详细信息:

Frame:   物理层的数据帧概况
Ethernet II: 数据链路层以太网帧头部信息
Internet Protocol Version 4: 互联网层IP包头部信息
Transmission Control Protocol:  传输层T的数据段头部信息,此处是TCP
Hypertext Transfer Protocol:  应用层的信息,此处是HTTP协议


wireshark与对应的OSI七层模型:


最低0.47元/天 解锁文章
TcpdumpWireshark 报文分析
weixin_43472459的博客
02-05 2954
wireshark分析实战
通过adb,tcpdump保存为.pcap文件到mac
qq_41543690的博客
08-06 1429
#!/bin/bash savepath=$(cd `dirname $0`; pwd) function pause(){ read -n 1 -p "$*" INP if [ [$INP != ''] ] ; then echo -ne '\b \n' fi } adb wait-for-device echo...
tcpdump
最新发布
tyro_wzp的博客
05-16 52
本文介绍了tcpdump工具的使用方法,括常用参数(如-a、-c、-e等)和过滤规则语法(host、port、协议类型等)。重点解析了TCP和UDP抓格式:TCP抓含时间戳、源/目的地址、标志位(SYN/ACK等)、序列号、窗口大小等字段,并通过三次握手和四次挥手示例说明TCP连接过程;UDP抓格式相对简单。文章还提供了HTTP服务抓实例,展示了TCP连接建立、数据传输和断开的全过程。这些知识对网络协议分析和故障排查具有实用价值。
Wireshark分析流量案例
热门推荐
mcmuyanga的博客
03-08 1万+
wireshark工具常用筛选命令方法 测试文件:https://pan.baidu.com/s/1QuMdefZHSqlaLSHaMVGb4w 提取码:tmjs 使用Wireshark查看并分析attack.pcapng数据文件,通过分析数据attack.pcapng找出黑客的IP地址,并将黑客的IP地址作为FLAG(形式:[IP地址])提交: 解: 首先筛选一下http协议的get传参和post传参的数据 http.request.method==GET 发现了两个登录界面的数据
[运维] tcpdump到指定文件
梦醒贰零壹柒
05-31 7230
使用tcpdump命令抓并将结果保存到指定文件,可以通过指定输出文件参数来实现。是要抓取数据的网络接口,可以是网络接口名称(例如。你可以将其替换为你想要的文件名和路径。是要保存抓结果的文件名,扩展名通常为。)或者是"any"(表示所有接口)。
tcpdump命令,过滤IP端口,保存为pcap文件,抓本机上的
一名Java后端程序员,分享日常bug和一些好玩的东西!
10-16 1万+
tcpdump命令: # tcpdump -i eth0 -Xvnn -s0 host ${对方IP} and port ${本机端口} > ./tmp.log & tcpdump -i eth0 -Xvnn -s0 host 192.168.2.18 and port 8080 > ./tmp.log & # 保存为pcap文件Wireshark上打开查看 tcpdump -i eth0 -Xvnn -s0 host 192.168.2.18 and port 8080
Linux使用tcpdump命令抓保存pcap文件wireshark分析
紫蝶侠的博客
04-09 4710
1.安装tcpdump yum install tcpdump 2.保存tcpdump结果 tcpdump -i eth0 -w dump.pcap -i #是指定要抓取的网卡 -w #指定结果保存的位置 3.在wireshark中打开 下载安转wireshark: 链接:https://pan.baidu.com/s/1dU-mYwGHS5BRLKbdjANzlA 提取码:b3hp 使用wireshark 直接打开dump.pcap文件即可 ...
wireshark读写pcap文件_使用wireshark分析tcpdump出来的pcap文件
weixin_39717110的博客
12-20 1420
工作中的常用用法一、tcpdump常用用法:1,-i 指定网口 -vnn 常用选项,显示详细信息并且不解析IP,端口 ;抓取某个网口上发往或来自某个IP的报文tcpdump -i ethX host 192.168.1.100 -vnn2,可以用or 或者and 连接多个过滤条件,port前的tcp表示tcp协议,也可为udp;抓取某个网口上发往或来自某个IP、并且指定端口的报文tcpdump -...
借助WireShark解析PCAP
阿霖
12-16 1万+
本文主要分为以下几点: 1.什么是pcap? 2.pcap内容如何查看? 3.在java程序中借助WireShark进行解析,在后台查看 目录 [toc]1.什么是pcap 什么是pcap PCAP是一个数据抓取库, 很多软件都是用它来作为数据抓取工具的。 WireShark也是用PCAP库来抓取数据的。PCAP抓取出来的数据并不是原始的网络字节流,而是对其进行
Wireshark分析数据*.cap
fen_fen的专栏
07-07 2172
Wireshark分析数据*.cap
tcpdump保存cap文件
胡迪_tester的博客
10-25 9657
1、tcpdump是对网络上的数据进行截获的分析工具; 2、安装:yum install tcpdump(yum安装即可),安装完成之后创建一个文件夹,专门存放抓取数据保存的文件,执行tcpdump相关命令在该文件下执行就可以了; 3、例子:抓取网卡eht0 及192.168.168.18ip和8081端口; 命令:tcpdump -i eht0 -w file.cap host 192.168.168.18 and tcp port 8081; ...
tcpdump,抓导出.pcap文件wireshark
Mr_wilson_liu的博客
05-28 1343
tcpdump -i any host 设备的ip。
tcpdump(tcpdump并保存成cap文件)
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
11-11 3682
linux上用tcpdump的问题 (管理员,给人家解释一下嘛,何必呢。)。。。你确定满意答案了,搞的我只能这样回答你了,具体可以看看man tcpdump 这里-nn 是不把地址转换为域名,不把端口转换为端口名,你不加.tcpdump在抓第一个的时候就要把地址转换成域名,端口转换成端口名,如果你的DNS没有配置好...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值