方法是在openwrt中一般都集成了tcpdump抓包工具,可以通过命令抓包保存为pcap文件,导出来后可以通过wireshark分析。
相信大部分研发人员都在windows下抓过包,最常用的软件就是wireshark,通过wireshark可以很方便的分析数据报文。抓包对于排查软件开发和网络问题很有帮助,所以每个技术人员都应该学会如何抓包。
通过wireshark抓包非常简单,直接打开软件选择网卡即可实时显示抓取的数据报文。但是对于手机客户端,抓包就没那么方便了,即使某些手机可以安装抓包app, 但也比较难用。
由于手机的wifi数据会经过路由器,我们可以通过路由器抓取手机发送的报文。
首先我们需要准备一台openwrt路由器,这里我采用红米AC2100,升级了官方22.03正式版本固件。
这里需要说明下,不是所有家用路由器都可以安装抓包工具,因为有些路由器厂商锁住了ssh后台,如果你有抓包需求的话相信弄一台openwrt路由器也比较容易。
支持刷openwrt系统的路由器(点击查看)
openwrt固件下载地址:
https://downloads.openwrt.org/releases/22.03.2/targets/ramips/mt7621/
openwrt界面如下图:
安装openwrt系统后我们还需要安装抓包软件,tcpdump是linux下面最好用的抓包工具,在openwrt系统中可以直接安装(openwrt也是linux系统)。
首先我们更新下openwrt软件源
更新后就可以看到各种软件包了
搜索tcpdump,可以看到搜索结果,选择tcpdump安装
tcpdump需要依赖libpcap库,安装tcpdump会自动安装libpcap库,libpcap会通过af_packet协议捕获linux tcp/ip协议栈的数据报文,通过环形缓冲区将数据映射到应用层,达到抓包的效果,后续可以给大家讲讲该驱动原理。
安装成功后就可以使用tcpdump软件了,注意tcpdump是没有图形界面的,是一个抓包命令,使用linux系统必须适应命令行操作。
打开ssh工具,登录到openwrt系统后台
输入tcpdump --help可以查看命令的基本使用参数
常用的参数列表
-c:表示要抓取的包数量,比如-c 1000表示抓取1000个包
-i:表示指定对哪个网卡接口进行抓包,比如-i eth0,表示对eth0这个网卡进行抓包
-n:不对具体ip地址进行域名解析,直接显示ip地址
-nn:不对具体ip进行域名解析,并且端口号也不显示服务的名称,直接显示数字
-D:列出可用于抓包的接口。将会列出接口的数值编号和接口名,它们都可以用于"-i"后。
-w:将抓包数据输出到文件中而不是打印到屏幕上,非常有用,可以导出后通过wireshark分析。
-XX:输出数据包的头部数据。
-vvv:打印和分析的时候,产生非常详细的输出。
常用的命令
1. 查看所有网卡列表
tcpdump -D
2. 指定网络接口抓包,如抓取br-lan桥接口(lan口)
tcpdump -i br-lan
3. 指定ip抓包,比如抓取某台手机ip的包(192.168.1.160)
tcpdump -i br-lan host 192.168.1.160
4. 显示数据包的详细信息,并指定抓包个数
tcpdump -i br-lan host 192.168.1.160 -vvv -XX -c 10
通过以上几个命令大家可能觉得数据太复杂,一点都不直观,但我们还可以通过-w参数输出到文件,文件格式兼容wireshark,
tcpdump -i br-lan host 192.168.1.160 -w /tmp/test.pcap
以上命令抓取ip地址为 192.168.1.160的所有报文并写入到test.pcap文件
生成文件后再通过winscp工具将文件导出到windows系统
然后通过wireshark打开test.pcap文件,这样就可以很方便地分析数据包了。
