怎么使用tcpdump

本篇內(nèi)容介紹了“怎么使用tcpdump”的有關(guān)知識，在實際案例的操作過程中，不少人都會遇到這樣的困境，接下來就讓小編帶領(lǐng)大家學(xué)習(xí)一下如何處理這些情況吧！希望大家仔細(xì)閱讀，能夠?qū)W有所成！

在新建等地區(qū)，都構(gòu)建了全面的區(qū)域性戰(zhàn)略布局，加強發(fā)展的系統(tǒng)性、市場前瞻性、產(chǎn)品創(chuàng)新能力，以專注、極致的服務(wù)理念，為客戶提供成都網(wǎng)站設(shè)計、成都網(wǎng)站制作、外貿(mào)網(wǎng)站建設(shè) 網(wǎng)站設(shè)計制作按需制作網(wǎng)站,公司網(wǎng)站建設(shè),企業(yè)網(wǎng)站建設(shè),高端網(wǎng)站設(shè)計,營銷型網(wǎng)站建設(shè),成都外貿(mào)網(wǎng)站制作,新建網(wǎng)站建設(shè)費用合理。

(1)tcp: ip icmp arp rarp 和 tcp、udp、icmp這些選項等都要放到第一個參數(shù)的位置，用來過濾數(shù)據(jù)報的類型

(2)-i eth2 : 只抓經(jīng)過接口eth2的包

(3)-t : 不顯示時間戳

(4)-s 0 : 抓取數(shù)據(jù)包時默認(rèn)抓取長度為68字節(jié)。加上-S 0 后可以抓到完整的數(shù)據(jù)包

(5)-c 100 : 只抓取100個數(shù)據(jù)包

(6)dst port ! 22 : 不抓取目標(biāo)端口是22的數(shù)據(jù)包

(7)src net 192.168.1.0/24 : 數(shù)據(jù)包的源網(wǎng)絡(luò)地址為192.168.1.0/24

(8)-w ./target.cap : 保存成cap文件，方便用ethereal(即wireshark)分析

使用tcpdump抓取HTTP包

tcpdump -XvvennSs 0 -i eth0 tcp[20:2]=0x4745 or tcp[20:2]=0x4854

0x4745 為"GET"前兩個字母"GE",0x4854 為"HTTP"前兩個字母"HT"。

-A 以ASCII碼方式顯示每一個數(shù)據(jù)包(不會顯示數(shù)據(jù)包中鏈路層頭部信息). 在抓取包含網(wǎng)頁數(shù)據(jù)的數(shù)據(jù)包時, 可方便查看數(shù)據(jù)(nt: 即Handyforcapturing web pages).

-t 在每行輸出中不打印時間戳

-tt 不對每行輸出的時間進(jìn)行格式處理(nt: 這種格式一眼可能看不出其含義, 如時間戳打印成1261798315)

-ttt tcpdump 輸出時, 每兩行打印之間會延遲一個段時間(以毫秒為單位)

-tttt 在每行打印的時間戳之前添加日期的打印

-u 打印出未加密的NFS 句柄(nt: handle可理解為NFS 中使用的文件句柄, 這將包括文件夾和文件夾中的文件)

-U 使得當(dāng)tcpdump在使用-w 選項時, 其文件寫入與包的保存同步.(nt: 即, 當(dāng)每個數(shù)據(jù)包被保存時, 它將及時被寫入文件中,而不是等文件的輸出緩沖已滿時才真正寫入此文件)

-U 標(biāo)志在老版本的libcap庫(nt: tcpdump 所依賴的報文捕獲庫)上不起作用, 因為其中缺乏pcap_cump_flush()函數(shù).

-v 當(dāng)分析和打印的時候, 產(chǎn)生詳細(xì)的輸出. 比如, 包的生存時間, 標(biāo)識, 總長度以及IP包的一些選項. 這也會打開一些附加的包完整性檢測, 比如對IP或ICMP包頭部的校驗和.

-vv 產(chǎn)生比-v更詳細(xì)的輸出. 比如, NFS回應(yīng)包中的附加域?qū)淮蛴? SMB數(shù)據(jù)包也會被完全解碼.

-vvv 產(chǎn)生比-vv更詳細(xì)的輸出. 比如, telent 時所使用的SB, SE 選項將會被打印, 如果telnet同時使用的是圖形界面,

其相應(yīng)的圖形選項將會以16進(jìn)制的方式打印出來(nt: telnet 的SB,SE選項含義未知, 另需補充).

-w 把包數(shù)據(jù)直接寫入文件而不進(jìn)行分析和打印輸出. 這些包數(shù)據(jù)可在隨后通過-r 選項來重新讀入并進(jìn)行分析和打印.

-W filecount

-x 當(dāng)分析和打印時, tcpdump 會打印每個包的頭部數(shù)據(jù), 同時會以16進(jìn)制打印出每個包的數(shù)據(jù)(但不包括連接層的頭部).總共打印的數(shù)據(jù)大小不會超過整個數(shù)據(jù)包的大小與snaplen 中的最小值. 必須要注意的是, 如果高層協(xié)議數(shù)據(jù)沒有snaplen 這么長,并且數(shù)據(jù)鏈路層(比如, Ethernet層)有填充數(shù)據(jù), 則這些填充數(shù)據(jù)也會被打印.(nt: soforlink layers that pad, 未能銜接理解和翻譯, 需補充 )

-xx tcpdump 會打印每個包的頭部數(shù)據(jù), 同時會以16進(jìn)制打印出每個包的數(shù)據(jù), 其中包括數(shù)據(jù)鏈路層的頭部.

-X 當(dāng)分析和打印時, tcpdump 會打印每個包的頭部數(shù)據(jù), 同時會以16進(jìn)制和ASCII碼形式打印出每個包的數(shù)據(jù)(但不包括連接層的頭部).這對于分析一些新協(xié)議的數(shù)據(jù)包很方便.

-XX 當(dāng)分析和打印時, tcpdump 會打印每個包的頭部數(shù)據(jù), 同時會以16進(jìn)制和ASCII碼形式打印出每個包的數(shù)據(jù), 其中包括數(shù)據(jù)鏈路層的頭部.這對于分析一些新協(xié)議的數(shù)據(jù)包很方便.

-y datalinktype

設(shè)置tcpdump 只捕獲數(shù)據(jù)鏈路層協(xié)議類型是datalinktype的數(shù)據(jù)包

-Z user

使tcpdump 放棄自己的超級權(quán)限(如果以root用戶啟動tcpdump, tcpdump將會有超級用戶權(quán)限), 并把當(dāng)前tcpdump的用戶ID設(shè)置為user, 組ID設(shè)置為user首要所屬組的ID(nt: tcpdump 此處可理解為tcpdump 運行之后對應(yīng)的進(jìn)程)

此選項也可在編譯的時候被設(shè)置為默認(rèn)打開.(nt: 此時user 的取值未知, 需補充)

一些例子：

A、想要截獲所有210.27.48.1 的主機收到的和發(fā)出的所有的數(shù)據(jù)包：

#tcpdump host 210.27.48.1

B、想要截獲主機210.27.48.1 和主機210.27.48.2 或210.27.48.3的通信，使用命令：（在命令行中適用　　　括號時，一定要

#tcpdump host 210.27.48.1 and \ (210.27.48.2 or 210.27.48.3 \)

C、如果想要獲取主機210.27.48.1除了和主機210.27.48.2之外所有主機通信的ip包，使用命令：

#tcpdump ip host 210.27.48.1 and ! 210.27.48.2

D、如果想要獲取主機210.27.48.1接收或發(fā)出的telnet包，使用如下命令：

#tcpdump tcp port 23 and host 210.27.48.1

從所有網(wǎng)卡中捕獲數(shù)據(jù)包

$ tcpdump -i any

從指定網(wǎng)卡中捕獲數(shù)據(jù)包

$ tcpdump -i eth0

“怎么使用tcpdump”的內(nèi)容就介紹到這里了，感謝大家的閱讀。如果想了解更多行業(yè)相關(guān)的知識可以關(guān)注創(chuàng)新互聯(lián)網(wǎng)站，小編將為大家輸出更多高質(zhì)量的實用文章！

文章名稱：怎么使用tcpdump
URL地址：http://bm7419.com/article16/pscddg.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供服務(wù)器托管、品牌網(wǎng)站制作、網(wǎng)站策劃、定制網(wǎng)站、網(wǎng)站內(nèi)鏈、微信小程序

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源：創(chuàng)新互聯(lián)

猜你還喜歡下面的內(nèi)容