linux下抓包命令--tcpdump的使用
例:tcpdump host 172.16.29.40 and port 4600 -X -s 500
tcpdump采用命令行方式,它的命令格式:为为
tcpdump [ -adeflnNOpqStvx ] [ -c 数量 ] [ -F 文件名 ]
[ -i 网接口为为为 ] [ -r 文件名] [ -s snaplen ] [ -T 为 型] [ -w 文件名 ] [
表
关于同志近三年现实表现材料材料类招标技术评分表图表与交易pdf视力表打印pdf用图表说话 pdf
达式 ]
1. tcpdump的介为为为为
-a 将网地址和广播地址成名字,为为为为为为为为为为为为为为
-d 将匹配信息包的代以人能理解的格式出,为为为为为为为为为为为为为为为为
-dd 将匹配信息包的代以为为c为为为为言程序段的格式出,
-ddd 将匹配信息包的代以十制的形式出,为为为为为为为为为为为
-e 在出行打印出数据路的部信息,为为为为为为为为为为为为为为为为为
-f 将外部的Internet地址以数字的形式打印出来,
-l 使准出冲行形式,为为为为为为为为为为为为
-n 不把网地址成名字,为为为为为为为为为
-t 在出的为为为为为为为为为为一行不打印戳,每
-v 出一个稍微的信息,例如在为为为为为为为为为为为为为为为ip包中可以包括ttl和服型的信息,为为为为为为为 -vv 出的文信息,为为为为为为为为为为
-c 在收到指定的包的数目后,tcpdump就会停止,
-F 从指定的文件中取表达式为为为为为,忽略其它的表达式,
-i 指定听的网接口,为为为为为为为为
-r 从指定的文件中取包为为为(为为些包一般通-w为为为生),
-w 直接将包写入文件中,并不
分析
定性数据统计分析pdf销售业绩分析模板建筑结构震害分析销售进度分析表京东商城竞争战略分析
和打印出来,
-T 将听到的包直接解指定的型的文,常的型有为为为为为为为为为为为为为为为为为为为为为为为为为rpc ,程为为为程用,和为为为为snmp,网管理,,为为为为为为为为为为
2. tcpdump的表达式介为
表达式是一个正表达式,为为为为为tcpdump利用它作文的条件,如果为为为为为为为为为为为一个文足表为为为为为
达式的条件,个文将会被捕。如果没有出任何条件,为为为为为为为为为为为为为为为为为为为为为为
为为为为为为为为为为为网上所有的信息包将会
被截。为为
在表达式中一般如下几型的字,一是于型的字,主要包括为为为为为为为为为为为为为为为为为为为为为为为为host,
net,port, 例如 host 210.27.48.2,指明 210.27.48.2是一台主机,net 202.0.0.0 指明202.0.0.0是一个网地址,为为为为port 23 指明端口号是23。如果没有指定型,缺省的型是为为为为为为为为为host.
第二是确定方向的字,主要包括为为为为为为为为为为为为为为为为为src , dst ,dst or src, dst and src ,
为为为为为为为为为为为为为为为为为为些字指明了的方向。例明,src 210.27.48.2 ,指明ip包中源地址是210.27.48.2 , dst net 202.0.0.0 指明目的网地址是为为为为202.0.0.0 。如果没有指明方向字,为为为为为缺省是src or dst为为字。
第三是的字,主要包括为为为为为为为为为为为为为fddi,ip ,arp,rarp,tcp,udp等型。为为为Fddi指明是在FDDI(分布式光数据接口网为为为为为为为)上的特定的网,上它是为为为为为为为为为"ether"的名,为为为fddi和ether具有似的源地址和目的地址,所以可以将为为为为为为为为为为为为为为为为为fddi为为包当作ether的包行理和为为为为为分析。
其他的几个字就是指明了听的包的
内容
财务内部控制制度的内容财务内部控制制度的内容人员招聘与配置的内容项目成本控制的内容消防安全演练内容
。如果没有指定任何,为为为为为为为为为为为为为为为为为为为为为为为为为为为为为为tcpdump将会
为为为为为为为为听所有的信息包。
除了三型的字之外,其他重要的字如下:为为为为为为为为为为为为为为为为为为为为为为为gateway, broadcast,less,
greater,为为为为为为为为为为为为 有三运算,取非运算是'not ' '! ', 与运算是'and','&&';或运算是 'or' ,'||',
些字可以合起来构成为为为为为为为为为为为为为为为为为为为为为为为为为为为为为为为为为为为为大的合条件来足人的需要,下面几个例子来强
为明。
(1)想要截所有为为为210.27.48.1 的主机收到的和出的所有的数据包:为为为为为为为为为为
#tcpdump host 210.27.48.1
(2) 想要截主机为为为210.27.48.1 和主机210.27.48.2 或210.27.48.3的通信,使用命令:,在命令行中适用 括号,一定要为为为为为
#tcpdump host 210.27.48.1 and \ (210.27.48.2 or 210.27.48.3 \)
(3) 如果想要取主机为为为为210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包,使用命令:
#tcpdump ip host 210.27.48.1 and ! 210.27.48.2 (4)如果想要取主机为为为为210.27.48.1接收或出的为为为telnet包,使用如下命令: #tcpdump tcp port 23 host 210.27.48.1 3. tcpdump 的出果介为为为为为为
下面我介几典型的为为为为为为为为tcpdump命令的出信息为为为为
(1) 数据路信息为为为为为为
使用命令#tcpdump --e host ice
ice 是一台装有linux的主机,她的MAC地址是0:90:27:58:AF:1A H219是一台装有SOLARIC的SUN工作站,它的MAC地址是8:0:20:79:5B:46,上一条
命令的出果如下所示:为为为为为为为为为
21:50:12.847509 eth0 < 8:0:20:79:5b:46 0:90:27:58:af:1a ip 60: h219.33357 > ice.
telne
t 0:0(0) ack 22535 win 8760 (DF)
分析:21:50:12是示的,为为为为为为 847509是ID号,eth0 <表示从网接口为为为eth0 接受为
数据包,eth0 >表示从网接口送数据包为为为为为为为为为为, 8:0:20:79:5b:46是主机H219的MAC地址,它
表明是从源地址H219为来的数据包. 0:90:27:58:af:1a是主机ICE的MAC地址,表示数为为据包的
目的地址是ICE . ip 是表明数据包是为为为为为IP数据包,60 是数据包的度为为, h219.33357 > ice.telnet 表明数据包是从主机为为为为为为为为H219的33357端口往主机为为为为ICE的TELNET(23)端口. ack 22535
表明序列号是为为为为为222535的包行响为为为为. win 8760表明送窗口的大小是为为为为为为为为8760. (2) ARP包的TCPDUMP为出信息
使用命令#tcpdump arp
得到的出果是:为为为为为为
22:32:42.802509 eth0 > arp who-has route tell ice (0:90:27:58:af:1a)
22:32:42.802902 eth0 < arp reply route is-at 0:90:27:12:10:66 (0:90:27:58:af
:1a)
分析: 22:32:42是戳为为为, 802509是ID号, eth0 >表明从主机出数据包为为为为为为, arp表明是ARP为求包, who-has route tell ice表明是主机ICE为求主机ROUTE的MAC地址。 0:90:27:58:af:1a是主机ICE的MAC地址。
(3) TCP包的出信息为为为为
用TCPDUMP捕的为为TCP包的一般出信息是:为为为为为为
src > dst: flags data-seqno ack window urgent options
src > dst:表明从源地址到目的地址, flags是TCP包中的志信息为为为为,S 是SYN为志, F (FIN), P (PUSH) , R (RST) "." (没有为为); data-seqno是数据包中的数据的序号为为为, ack是下次期望的序号为为为, window是接收存的窗口大小为为为为为为为, urgent表明数据包中是否有急指为为为为. Options是为为.
(4) UDP包的出信息为为为为
用TCPDUMP捕的为为UDP包的一般出信息是:为为为为为为
route.port1 > ice.port2: udp lenth UDP十分,上面的出行表明从主机为为为为为为为为为为为为为为ROUTE的port1端口出的一个为为为为为UDP数据包到主机
ICE的port2端口,型是为为为UDP,包的度是 为为为lenth
浙公网安备 33021202002483