資源描述:
《tcpdump參數(shù)詳解》由會員上傳分享��,免費在線閱讀����,更多相關內容在教育資源-天天文庫。
1�、tcpdump參數(shù)詳解tcpdump主要進行數(shù)據(jù)包捕獲,設置合適的參數(shù)能夠減少捕獲的數(shù)據(jù)包量��,更有利于我們進行數(shù)據(jù)分析。數(shù)據(jù)過濾 不帶任何參數(shù)的TcpDump將搜索系統(tǒng)中所有的網(wǎng)絡接口����,并顯示它截獲的所有數(shù)據(jù),這些數(shù)據(jù)對我們不一定全都需要���,而且數(shù)據(jù)太多不利于分析�����。所以����,我們應當先想好需要哪些數(shù)據(jù)��,TcpDump提供以下參數(shù)供我們選擇數(shù)據(jù): -b在數(shù)據(jù)-鏈路層上選擇協(xié)議����,包括ip�����、arp�、rarp、ipx都是這一層的?���! ±纾簍cpdump-barp將只顯示網(wǎng)絡中的arp即地址轉換協(xié)議信息?�! ?i選擇過濾的網(wǎng)絡接口��,
2�、如果是作為路由器至少有兩個網(wǎng)絡接口,通過這個選項���,就可以只過濾指定的接口上通過的數(shù)據(jù)���。例如: tcpdump-ieth0只顯示通過eth0接口上的所有報頭?��! rc�、dst��、port�、host、net�����、ether、gateway這幾個選項又分別包含src��、dst���、port��、host��、net��、ehost等附加選項�。他們用來分辨數(shù)據(jù)包的來源和去向�,srchost192.168.0.1指定源主機IP地址是192.168.0.1,dstnet192.168.0.0/24指定目標是網(wǎng)絡192.168.0.0�。以此類推�,host是
3、與其指定主機相關無論它是源還是目的����,net是與其指定網(wǎng)絡相關的,ether后面跟的不是IP地址而是物理地址����,而gateway則用于網(wǎng)關主機���。可能有點復雜����,看下面例子就知道了: tcpdumpsrchost192.168.0.1anddstnet192.168.0.0/24 過濾的是源主機為192.168.0.1與目的網(wǎng)絡為192.168.0.0的報頭?! cpdumpethersrc00:50:04:BA:9Banddst…… 過濾源主機物理地址為XXX的報頭(為什么ethersrc后面沒有host或者net?物理
4�����、地址當然不可能有網(wǎng)絡嘍)����。 Tcpdumpsrchost192.168.0.1anddstportnottelnet 過濾源主機192.168.0.1和目的端口不是telnet的報頭��?���! picmparprarp和tcp、udp�、icmp這些選項等都要放到第一個參數(shù)的位置��,用來過濾數(shù)據(jù)報的類型�����?����! ±纾骸 cpdumpipsrc…… 只過濾數(shù)據(jù)-鏈路層上的IP報頭����?! cpdumpudpandsrchost192.168.0.1 只過濾源主機192.168.0.1的所有udp報頭?! ?shù)據(jù)顯示/輸入輸出
5、TcpDump提供了足夠的參數(shù)來讓我們選擇如何處理得到的數(shù)據(jù)�,如下所示: -l可以將數(shù)據(jù)重定向�?���! ∪鐃cpdump-l>tcpcap.txt將得到的數(shù)據(jù)存入tcpcap.txt文件中�?���! ?n不進行IP地址到主機名的轉換?�! ∪绻皇褂眠@一項���,當系統(tǒng)中存在某一主機的主機名時��,TcpDump會把IP地址轉換為主機名顯示�,就像這樣:eth0<ntc9.1165>router.domain.net.telnet����,使用-n后變成了:eth0<192.168.0.9.1165>192.168.0.1.telnet��?! ?nn不進
6�、行端口名稱的轉換。 上面這條信息使用-nn后就變成了:eth0<ntc9.1165>router.domain.net.23?���! ?N不打印出默認的域名���。 還是這條信息-N后就是:eth0<ntc9.1165>router.telnet�?�! ?O不進行匹配代碼的優(yōu)化���?��! ?t不打印UNIX時間戳���,也就是不顯示時間?! ?tt打印原始的、未格式化過的時間����?���! ?v詳細的輸出�,也就比普通的多了個TTL和服務類型TCPDUMP的使用方法??tcpdump采用命令行方式,它的命令格式為: tcpdump[-adeflnNOp
7�、qStvx][-c數(shù)量][-F文件名] [-i網(wǎng)絡接口][-r文件名][-ssnaplen] [-T類型][-w文件名][表達式] 1.tcpdump的選項介紹 -a 將網(wǎng)絡地址和廣播地址轉變成名字; -d 將匹配信息包的代碼以人們能夠理解的匯編格式給出�����; -dd 將匹配信息包的代碼以c語言程序段的格式給出����; -ddd 將匹配信息包的代碼以十進制的形式給出��; -e 在輸出行打印出數(shù)據(jù)鏈路層的頭部信息��; -f 將外部的Internet地址以
8、數(shù)字的形式打印出來; -l 使標準輸出變?yōu)榫彌_行形式�����; -n 不把網(wǎng)絡地址轉換成名字���; -t 在輸出的每一行不打印時間戳; -v 輸出一個稍微詳細的信息����,例如在ip包中可以包括ttl和服務類型的信息����; -vv 輸出詳細的報文信息; -c 在收到指定的包的數(shù)
