tcpdumpパッケージ+wiresharkパッケージ解除

6244 ワード

まず
tcpdump  -XvvennSs 0 -i eth0 tcp[20:2]=0x4745 or tcp[20:2]=0x4854 -w http.pcap  httpのバッグだけつかむ-w エクスポート*.pcap用wireshark分析用
-c:         。  ,           。  ,  "-c 10"   10  ,        100  ,     10         。
-i interface:  tcpdump       。       ,                       (   loopback  ,   loopback    tcpdump -i lo),
: , 。 'any'-n: , , -n 。 -nn: -n , , 。 -N: host 。 tcpdump 'nic' 'nic.ddn.mil'-P: 。 "in""out" "inout""inout"-s len: tcpdump len, 65535 。 , , ,
"[|proto]" (proto )。 len , , tcpdump ,
: , , 。 :
-e: , MAC MAC。 -q: 。 , 。 -X: , 16 ASCII 。 -XX: , 16 ASCII , 。 -v: , 。 -vv: -v 。 -vvv: -vv 。-D: 。 , "-i" 。 -F: 。 , 。 -w: 。 "-G time" time 。 "-r"-r: 。 "-"

wireshark分析
Frame:   物理レイヤのデータフレームの概要
Ethernet II: データリンク層イーサネットフレームヘッダ情報
Internet Protocol Version 4: インターネット層IPヘッダ部情報
Transmission Control Protocol:  伝送層Tのデータセグメントヘッダ情報、ここではTCP
Hypertext Transfer Protocol:  アプリケーション層の情報、ここではHTTPプロトコル
初回握手識別ビットflags:0 x 002(SYN)
2回目の握手識別ビットflags:0 x 012(SYN,ACK)
3回目の握手識別ビットflags:0 x 010(ACK)