資源描述:
《tcpdump中文手冊》由會員上傳分享,免費(fèi)在線閱讀��,更多相關(guān)內(nèi)容在教育資源-天天文庫。
1���、TCPDUMP中文手冊名稱(NAME)tcpdump-轉(zhuǎn)儲網(wǎng)絡(luò)上的數(shù)據(jù)流總覽(SYNOPSIS)tcpdump[-adeflnNOpqStvx][-ccount][-Ffile][-iinterface][-rfile][-ssnaplen][-Ttype][-wfile][expression]描述(DESCRIPTION)Tcpdump打印出在某個網(wǎng)絡(luò)界面上,匹配布爾表達(dá)式expression的報(bào)頭.對于SunOS的nit或bpf界面:要運(yùn)行tcpdump,你必須有/dev/nit或/dev/bpf*的讀訪問權(quán)限.對于Solaris
2�����、的dlpi:你必須有網(wǎng)絡(luò)仿真設(shè)備(networkpseudodevice),如/dev/le的讀訪問權(quán)限.對于HP-UX的dlpi:你必須是root,或者把它安裝成root的設(shè)置uid程序.對于IRIX的snoop:你必須是root,或者把它安裝成root的設(shè)置uid程序.對于Linux:你必須是root,或者把它安裝成root的設(shè)置uid程序.對于Ultrix和DigitalUNIX:一旦超級用戶使用pfconfig(8)開放了promiscuous操作模式(promiscuous-mode),任何用戶都可以運(yùn)行tcpdump.對于B
3��、SD:你必須有/dev/bpf*的讀訪問權(quán)限.選項(xiàng)(OPTIONS)-a試著把網(wǎng)絡(luò)和廣播地址轉(zhuǎn)換成名稱.-c當(dāng)收到count報(bào)文后退出.-d把編譯好的報(bào)文匹配模板(packet-matchingcode)翻譯成可讀形式,傳往標(biāo)準(zhǔn)輸出,然后退出.-dd把報(bào)文匹配模板(packet-matchingcode)以C程序片斷的形式輸出.-ddd把報(bào)文匹配模板(packet-matchingcode)以十進(jìn)制數(shù)形式輸出(前面加上總數(shù)).-e每行都顯示鏈路層報(bào)頭.-f用數(shù)字形式顯示'外部的'互聯(lián)網(wǎng)地址,而不是字符形式(這個選項(xiàng)用來繞開腦殼壞光的SU
4��、N黃頁服務(wù)器的問題---一般說來它翻譯外部網(wǎng)絡(luò)數(shù)字地址的時候會長期掛起).-F把file的內(nèi)容用作過濾表達(dá)式.忽略命令行上的表達(dá)式.-i監(jiān)聽interface.如果不指定接口,tcpdump在系統(tǒng)的接口清單中,尋找號碼最小,已經(jīng)配置好的接口(loopback除外).選中的時候會中斷連接.-l行緩沖標(biāo)準(zhǔn)輸出.可用于捕捉數(shù)據(jù)的同時查看數(shù)據(jù).例如,``tcpdump-l
5����、teedat''or``tcpdump-l>dat&tail-fdat''.-n別把地址轉(zhuǎn)換成名字(就是說,主機(jī)地址,端口號等)-N不顯示主機(jī)名字中的域名部分.例如,如果使用
6��、這個選項(xiàng),tcpdump只顯示``nic'',而不是``nic.ddn.mil''.-O禁止運(yùn)行報(bào)文匹配模板的優(yōu)化器.只有當(dāng)你懷疑優(yōu)化器有bug時才有用.-p禁止把接口置成promiscuous模式.注意,接口有可能因其他原因而處于promiscuous模式;因此,'-p'不能作為`etherhost{local-hw-addr}或etherbroadcast'的簡寫.-q快速輸出.顯示較少的協(xié)議信息,輸出行會短一點(diǎn)點(diǎn).-r從file中讀入數(shù)據(jù)報(bào)(文件是用-w選項(xiàng)創(chuàng)建的).如果file是``-'',就讀標(biāo)準(zhǔn)輸入.-s從每個報(bào)文中截取sn
7���、aplen字節(jié)的數(shù)據(jù),而不是缺省的68(如果是SunOS的NIT,最小值是96).68個字節(jié)適用于IP,ICMP,TCP和UDP,但是有可能截掉名字服務(wù)器和NFS報(bào)文的協(xié)議信息(見下面).輸出時如果指定``[
8、proto]'',tcpdump可以指出那些捕捉量過小的數(shù)據(jù)報(bào),這里的proto是截?cái)喟l(fā)生處的協(xié)議層名稱.注意,采用更大的捕捉范圍既增加了處理報(bào)文的時間,又相應(yīng)的減少了報(bào)文的緩沖數(shù)量,可能導(dǎo)致報(bào)文的丟失.你應(yīng)該把snaplen設(shè)的盡量小,只要能夠容納你需要的協(xié)議信息就可以了.-T把通過"expression"挑選出來的報(bào)文解釋成指
9���、定的type.目前已知的類型有:rpc(遠(yuǎn)程過程調(diào)用RemoteProcedureCall),rtp(實(shí)時應(yīng)用協(xié)議Real-TimeApplicationsprotocol),rtcp(實(shí)時應(yīng)用控制協(xié)議Real-TimeApplicationscontrolprotocol),vat(可視音頻工具VisualAudioTool),和wb(分布式白板distributedWhiteBoard).-S顯示絕對的,而不是相對的TCP序列號.-t禁止顯示時戳標(biāo)志.-tt顯示未格式化的時戳標(biāo)志.-v(稍微多一點(diǎn))繁瑣的輸出.例如,顯示IP數(shù)據(jù)報(bào)中
10��、的生存周期和服務(wù)類型.-vv更繁瑣的輸出.例如,顯示NFS應(yīng)答報(bào)文的附加域.-w把原始報(bào)文存進(jìn)file,而不是分析和顯示.它們可以以后用-r選項(xiàng)顯示.如果file是``-'',就寫往標(biāo)準(zhǔn)輸出.-x以16進(jìn)制
