資源描述:
《tcpdump參數(shù)詳解》由會(huì)員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在教育資源-天天文庫(kù)。
1、tcpdump參數(shù)詳解tcpdump主要進(jìn)行數(shù)據(jù)包捕獲,設(shè)置合適的參數(shù)能夠減少捕獲的數(shù)據(jù)包量,更有利于我們進(jìn)行數(shù)據(jù)分析。數(shù)據(jù)過濾 不帶任何參數(shù)的TcpDump將搜索系統(tǒng)中所有的網(wǎng)絡(luò)接口,并顯示它截獲的所有數(shù)據(jù),這些數(shù)據(jù)對(duì)我們不一定全都需要,而且數(shù)據(jù)太多不利于分析。所以,我們應(yīng)當(dāng)先想好需要哪些數(shù)據(jù),TcpDump提供以下參數(shù)供我們選擇數(shù)據(jù): -b在數(shù)據(jù)-鏈路層上選擇協(xié)議,包括ip、arp、rarp、ipx都是這一層的?! ±纾簍cpdump-barp將只顯示網(wǎng)絡(luò)中的arp即地址轉(zhuǎn)換協(xié)議信息?! ?i選擇過濾的網(wǎng)絡(luò)接口,
2、如果是作為路由器至少有兩個(gè)網(wǎng)絡(luò)接口,通過這個(gè)選項(xiàng),就可以只過濾指定的接口上通過的數(shù)據(jù)。例如: tcpdump-ieth0只顯示通過eth0接口上的所有報(bào)頭?! rc、dst、port、host、net、ether、gateway這幾個(gè)選項(xiàng)又分別包含src、dst、port、host、net、ehost等附加選項(xiàng)。他們用來分辨數(shù)據(jù)包的來源和去向,srchost192.168.0.1指定源主機(jī)IP地址是192.168.0.1,dstnet192.168.0.0/24指定目標(biāo)是網(wǎng)絡(luò)192.168.0.0。以此類推,host是
3、與其指定主機(jī)相關(guān)無(wú)論它是源還是目的,net是與其指定網(wǎng)絡(luò)相關(guān)的,ether后面跟的不是IP地址而是物理地址,而gateway則用于網(wǎng)關(guān)主機(jī)??赡苡悬c(diǎn)復(fù)雜,看下面例子就知道了: tcpdumpsrchost192.168.0.1anddstnet192.168.0.0/24 過濾的是源主機(jī)為192.168.0.1與目的網(wǎng)絡(luò)為192.168.0.0的報(bào)頭?! cpdumpethersrc00:50:04:BA:9Banddst…… 過濾源主機(jī)物理地址為XXX的報(bào)頭(為什么ethersrc后面沒有host或者net?物理
4、地址當(dāng)然不可能有網(wǎng)絡(luò)嘍)?! cpdumpsrchost192.168.0.1anddstportnottelnet 過濾源主機(jī)192.168.0.1和目的端口不是telnet的報(bào)頭?! picmparprarp和tcp、udp、icmp這些選項(xiàng)等都要放到第一個(gè)參數(shù)的位置,用來過濾數(shù)據(jù)報(bào)的類型?! ±纾骸 cpdumpipsrc…… 只過濾數(shù)據(jù)-鏈路層上的IP報(bào)頭?! cpdumpudpandsrchost192.168.0.1 只過濾源主機(jī)192.168.0.1的所有udp報(bào)頭。 數(shù)據(jù)顯示/輸入輸出
5、TcpDump提供了足夠的參數(shù)來讓我們選擇如何處理得到的數(shù)據(jù),如下所示: -l可以將數(shù)據(jù)重定向。 如tcpdump-l>tcpcap.txt將得到的數(shù)據(jù)存入tcpcap.txt文件中?! ?n不進(jìn)行IP地址到主機(jī)名的轉(zhuǎn)換?! ∪绻皇褂眠@一項(xiàng),當(dāng)系統(tǒng)中存在某一主機(jī)的主機(jī)名時(shí),TcpDump會(huì)把IP地址轉(zhuǎn)換為主機(jī)名顯示,就像這樣:eth0<ntc9.1165>router.domain.net.telnet,使用-n后變成了:eth0<192.168.0.9.1165>192.168.0.1.telnet?! ?nn不進(jìn)
6、行端口名稱的轉(zhuǎn)換?! ∩厦孢@條信息使用-nn后就變成了:eth0<ntc9.1165>router.domain.net.23。 -N不打印出默認(rèn)的域名?! ∵€是這條信息-N后就是:eth0<ntc9.1165>router.telnet?! ?O不進(jìn)行匹配代碼的優(yōu)化?! ?t不打印UNIX時(shí)間戳,也就是不顯示時(shí)間?! ?tt打印原始的、未格式化過的時(shí)間?! ?v詳細(xì)的輸出,也就比普通的多了個(gè)TTL和服務(wù)類型TCPDUMP的使用方法??tcpdump采用命令行方式,它的命令格式為: tcpdump[-adeflnNOp
7、qStvx][-c數(shù)量][-F文件名] [-i網(wǎng)絡(luò)接口][-r文件名][-ssnaplen] [-T類型][-w文件名][表達(dá)式] 1.tcpdump的選項(xiàng)介紹 -a 將網(wǎng)絡(luò)地址和廣播地址轉(zhuǎn)變成名字; -d 將匹配信息包的代碼以人們能夠理解的匯編格式給出; -dd 將匹配信息包的代碼以c語(yǔ)言程序段的格式給出; -ddd 將匹配信息包的代碼以十進(jìn)制的形式給出; -e 在輸出行打印出數(shù)據(jù)鏈路層的頭部信息; -f 將外部的Internet地址以
8、數(shù)字的形式打印出來; -l 使標(biāo)準(zhǔn)輸出變?yōu)榫彌_行形式; -n 不把網(wǎng)絡(luò)地址轉(zhuǎn)換成名字; -t 在輸出的每一行不打印時(shí)間戳; -v 輸出一個(gè)稍微詳細(xì)的信息,例如在ip包中可以包括ttl和服務(wù)類型的信息; -vv 輸出詳細(xì)的報(bào)文信息; -c 在收到指定的包的數(shù)