tcpdump参数详解Word下载.docx
- 文档编号:22508102
- 上传时间:2023-02-04
- 格式:DOCX
- 页数:27
- 大小:30.10KB
tcpdump参数详解Word下载.docx
《tcpdump参数详解Word下载.docx》由会员分享,可在线阅读,更多相关《tcpdump参数详解Word下载.docx(27页珍藏版)》请在冰豆网上搜索。
tcpdumpudpandsrchost192.168.0.1
只过滤源主机192.168.0.1的所有udp报头。
数据显示/输入输出
TcpDump提供了足够的参数来让我们选择如何处理得到的数据,如下所示:
-l可以将数据重定向。
如tcpdump-l>tcpcap.txt将得到的数据存入tcpcap.txt文件中。
-n不进行IP地址到主机名的转换。
如果不使用这一项,当系统中存在某一主机的主机名时,TcpDump会把IP地址转换为主机名显示,就像这样:
eth0<ntc9.1165>.telnet,使用-n后变成了:
eth0<192.168.0.9.1165>192.168.0.1.telnet。
-nn不进行端口名称的转换。
上面这条信息使用-nn后就变成了:
eth0<ntc9.1165>.23。
-N不打印出默认的域名。
还是这条信息-N后就是:
eth0<ntc9.1165>router.telnet。
-O不进行匹配代码的优化。
-t不打印UNIX时间戳,也就是不显示时间。
-tt打印原始的、未格式化过的时间。
-v详细的输出,也就比普通的多了个TTL和服务类型
TCPDUMP的使用方法
tcpdump采用命令行方式,它的命令格式为:
tcpdump[-adeflnNOpqStvx][-c数量][-F文件名]
[-i网络接口][-r文件名][-ssnaplen]
[-T类型][-w文件名][表达式]
1.tcpdump的选项介绍
-a 将网络地址和广播地址转变成名字;
-d 将匹配信息包的代码以人们能够理解的汇编格式给出;
-dd 将匹配信息包的代码以c语言程序段的格式给出;
-ddd 将匹配信息包的代码以十进制的形式给出;
-e 在输出行打印出数据链路层的头部信息;
-f 将外部的Internet地址以数字的形式打印出来;
-l 使标准输出变为缓冲行形式;
-n 不把网络地址转换成名字;
-t 在输出的每一行不打印时间戳;
-v 输出一个稍微详细的信息,例如在ip包中可以包括ttl和服务类型的信息;
-vv 输出详细的报文信息;
-c 在收到指定的包的数目后,tcpdump就会停止;
-F 从指定的文件中读取表达式,忽略其它的表达式;
-i 指定监听的网络接口;
-r 从指定的文件中读取包(这些包一般通过-w选项产生);
-w 直接将包写入文件中,并不分析和打印出来;
-T 将监听到的包直接解释为指定的类型的报文,常见的类型有rpc(远程过程调用)和snmp(简单 网络管理协议;
)
2.tcpdump的表达式介绍
表达式是一个正则表达式,tcpdump利用它作为过滤报文的条件,如果一个报文满足表达式的条件,则这个报文将会被捕获。
如果没有给出任何条件,则网络上所有的信息包将会被截获。
在表达式中一般如下几种类型的关键词,一种是关于类型的关键词,主要包括host,net,port,例如host210.27.48.2,指明210.27.48.2是一台主机,net202.0.0.0指明202.0.0.0是一个网络地址,port23指明端口号是23。
如果没有指定类型,缺省的类型是host.
第二种是确定传输方向的关键词,主要包括src,dst,dstorsrc,dstandsrc,这些关键词指明了传输的方向。
举例说明,src210.27.48.2,指明ip包中源地址是210.27.48.2,dstnet202.0.0.0指明目的网络地址是202.0.0.0。
如果没有指明方向关键词,则缺省是srcordst关键词。
第三种是协议的关键词,主要包括fddi,ip,arp,rarp,tcp,udp等类型。
Fddi指明是在FDDI(分布式光纤数据接口网络)上的特定的网络协议,实际上它是"
ether"
的别名,fddi和ether具有类似的源地址和目的地址,所以可以将fddi协议包当作ether的包进行处理和分析。
其他的几个关键词就是指明了监听的包的协议内容。
如果没有指定任何协议,则tcpdump将会监听所有协议的信息包。
除了这三种类型的关键词之外,其他重要的关键词如下:
gateway,broadcast,less,greater,还有三种逻辑运算,取非运算是'
not'
'
!
与运算是'
and'
'
&
'
;
或运算是'
or'
'
||'
;
这些关键词可以组合起来构成强大的组合条件来满足人们的需要,下面举几个例子来说明。
(1)想要截获所有210.27.48.1的主机收到的和发出的所有的数据包:
#tcpdumphost210.27.48.1
(2)想要截获主机210.27.48.1和主机210.27.48.2或210.27.48.3的通信,使用命令:
(在命令行中适用括号时,一定要
#tcpdumphost210.27.48.1and\(210.27.48.2or210.27.48.3\)
(3)如果想要获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包,使用命令:
#tcpdumpiphost210.27.48.1and!
210.27.48.2
(4)如果想要获取主机210.27.48.1接收或发出的telnet包,使用如下命令:
#tcpdumptcpport23host210.27.48.1
3.tcpdump的输出结果介绍
下面我们介绍几种典型的tcpdump命令的输出信息
(1)数据链路层头信息
使用命令#tcpdump--ehostice
ice是一台装有linux的主机,她的MAC地址是0:
90:
27:
58:
AF:
1A
H219是一台装有SOLARIC的SUN工作站,它的MAC地址是8:
0:
20:
79:
5B:
46;
上一条命令的输出结果如下所示:
21:
12.847509eth0<
8:
0:
20:
79:
5b:
460:
90:
27:
58:
af:
1aip60:
h219.33357>
ice.
telnet0:
0(0)ack22535win8760(DF)
分析:
21:
50:
12是显示的时间,847509是ID号,eth0<
表示从网络接口eth0接受该数据包,eth0>
表示从网络接口设备发送数据包,8:
46是主机H219的MAC地址,它表明是从源地址H219发来的数据包.0:
1a是主机ICE的MAC地址,表示该数据包的
目的地址是ICE.ip是表明该数据包是IP数据包,60是数据包的长度,h219.33357>
ice.telnet表明该数据包是从主机H219的33357端口发往主机ICE的TELNET(23)端口.ack22535表明对序列号是222535的包进行响应.win8760表明发送窗口的大小是8760.
(2)ARP包的TCPDUMP输出信息
使用命令#tcpdumparp
得到的输出结果是:
22:
32:
42.802509eth0>
arpwho-hasroutetellice(0:
1a)
42.802902eth0<
arpreplyrouteis-at0:
12:
10:
66(0:
分析:
22:
42是时间戳,802509是ID号,eth0>
表明从主机发出该数据包,arp表明是ARP请求包,who-hasroutetellice表明是主机ICE请求主机ROUTE的MAC地址。
0:
1a是主机ICE的MAC地址。
(3)TCP包的输出信息
用TCPDUMP捕获的TCP包的一般输出信息是:
src>
dst:
flagsdata-seqnoackwindowurgentoptions
表明从源地址到目的地址,flags是TCP包中的标志信息,S是SYN标志,F(FIN),P(PUSH),R(RST)"
."
(没有标记);
data-seqno是数据包中的数据的顺序号,ack是下次期望的顺序号,window是接收缓存的窗口大小,urgent表明数据包中是否有紧急指针.Options是选项.
(4)UDP包的输出信息
用TCPDUMP捕获的UDP包的一般输出信息是:
route.port1>
ice.port2:
udplenth
UDP十分简单,上面的输出行表明从主机ROUTE的port1端口发出的一个UDP数据包到主机
ICE的port2端口,类型是UDP,包的长度是lenth
Snoop参数详解
Snoop是Solaris系统中自带的工具,是一个用于显示网络通讯的程序,它可捕获IP包并将其显示或保存到指定文件.(限超级用户使用snoop)Snoop可将捕获的包以一行的形式加以总结或用多行加以详细的描述(有调用不同的参数-v-V来实现).在总结方式下(-V),将仅显示最高层的相关协议,例如一个NFS包将仅显示NFS信息,其低层的RPC,UDP,IP,Ethernet帧信息将不会显示,但是当加上相应的参数(-v),这些信息都能被显示出来.
参数简介:
[-a]#Listentopacketsonaudio
[-ddevice]#settabletole,ie,bf,tr
[-ssnaplen]#Truncatepackets
[-ccount]#Quitaftercountpackets
[-P]#TurnOFFpromiscuousmode
[-D]#Reportdroppedpackets
[-S]#Reportpacketsize
[-ifile]#Readpreviouslycapturedpackets
[-ofile]#Capturepacketsinfile
[-nfile]#Loadaddr-to-nametablefromfile
[-N]#Createaddr-to-nametable
[-tr|a|d]#Time:
Relative,AbsoluteorDelta
[-v]#Verbosepacketdisplay
[-V]#Showallsummarylines
[-pfirst[,last]]#Selectpacket(s)todisplay
[-xoffset[,length]]#Hexdumpfromoffsetforlength
[-C]#Printpacketfiltercode
#snoophost1host2
host1->
host2ICMPEchorequest
host2->
host1ICMPEchoreply
#snoop-adhcp
#snoop监听所有以本机为源和目的的包并将其显示出来.
#snoopA监听所有以主机A为源和目的的包并将其显示出来.(A为主机名,下同)
#snoop-ofileAB监听所有A和B之间的包并将其保存到文件file.
查看主机A和主机B之间的NFS包(命令中的and和or为相应的逻辑运算)
#snoop-ifilerpcnfsandAandB
10.0000A->
BNFSCGETATTRFH=8E6C
20.0046B->
ANFSRGETATTROK
30.0080A->
BNFSCRENAMEFH=8E6CMTra00192to.nfs08
#snoop-ifile-ofile2rpcnfsAB将这些符合条件的包保存到另一文件file2中
#snoopAandBand(tcporudp)andport80监听主机A和主机B间所有TCP80端口或UDP80端口的包
#snoopbroadcast监听所有的广播包
Usingdevice/dev/hme(promiscuousmode)
10.10.10.50->
BROADCASTUDPD=177S=2541LEN=35
#snoop-vmulticast监听所有的多播包,并显示详细内容
#snoop|grep-iNTP监听所有的NTP协议包
ts1->
224.0.1.1NTPbroadcast(TueJul2312:
48:
502002)
49:
542002)
582002)
52:
022002)
53:
062002)
54:
102002)
这里我们也可看到NTPserver每隔约一分钟即向多播地址广播一次.
#snoop-dle0port123指定网口
snoop-dpcelx0
/*Watchallnetworkpacketsondevicepcelx0*/
snoop-o/tmp/mylogpcelx0
/*Savespacketsfromdevicepcelx0toafile*/
snoop-i/tmp/myloghost1host2
/*Viewpacketsfromlogfilebetweenhost1&
host2*/
snoop-i/tmp/mylog-v-p101
/*Showallinfoonpacketnumber101fromalogfile*/
snoop-i/tmp/mylog-o/tmp/newloghost1
/*Writeanewlogfilewithallhost1packets*/
snoop-s120
/*Returnthefirst120bytesinthepacketheader*/
snoop-varp
/*Capturearpbroadcastsonyournetwork*/
在Solaris系统下,有一个系统内置的网络数据分析和诊断工具snoop,可以抓取以太网中的数据包进行分析,功能和大名鼎鼎的Tcpdump与SnifferPro类似。
snoop早在SunOS4.x开始就作为SunOS系统的内置命令存在,可惜Unix世界中有优秀的Tcpdump和Ethereal存在加上Snoop本身的功能比较简单,所以Snoop只能在Solaris的世界中屈居一隅,而且大家对他也所用甚少,所幸不久前偶竟然发现一个如此强大的Snoop数据分析工具:
Chaosreader,顿然发觉snoop也有了新活力。
先简单回顾一下snoop的命令参数和用法。
snoop本身能够运行在以太网环境下的solaris系统中,然后依靠网卡的混杂模式从网络中读取流过的所有数据包,当然,这依赖于网络必须是共享式以太网(使用Hub),或者在Switch上配置SPAN功能把所有流量镜像到snoop所运行的机器。
如果网络是运行在除以上两者之外的交换网络上的话,那么snoop只能够获取到广播数据,以及发往主机自身的数据。
snoop本身支持以太网帧(ethernetframe),TCP|UDP/IP协议,以及之上的一些应用层协议,例如X,RPC,NFS。
大家都知道,作为一个优秀的网络分析工具,必须具备良好的宏观和微观两方面的分析能力,而Sniffer类的工具,则更突出在他的微观-数据解析和分析能力方面,这就依赖于工具所能够理解和解析的网络协议(应用协议)类型数量,比如作为网络分析工具无冕之王的Ethereal就能够理解超过六百种不同的网络协议。
这方面恰恰是snoop的劣势所在,所以传统的snoop仅仅是作为简单的sniffer类工具来使用的,chaosreader恰恰弥补了snoop在这方面的缺点,同时在Session分析和数据可视化重现方面大大加强了它的功能。
Chaosreader主页:
.au/bdgcvb/chaosreader.html
下载地址:
.au/bdgcvb/chaosreader
在Solaris系统里,只要直接运行/usr/sbin/snoop就可以启动一个监听进程:
================================
[tracy@ketty]#/usr/sbin/snoop
Usingdevice/dev/pcn0(promiscuousmode)
192.168.0.2->
KattyTELNETCport=1366
Katty->
192.168.0.2TELNETRport=1366Usingdevice/dev/pc
KattyTELNETCport=1368
192.168.0.2TELNETRport=1368
.......(省略telnet协商过程)
192.168.0.2TELNETRport=1368\377\376\1login:
KattyTELNETCport=1368e
192.168.0.2TELNETRport=1368e
KattyTELNETCport=1368l
Kat
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- tcpdump 参数 详解