tcpdump參數(shù)詳解

tcpdump參數(shù)詳解

ID:37713095

大小:37.94 KB

頁(yè)數(shù):14頁(yè)

時(shí)間:2019-05-29

tcpdump參數(shù)詳解_第1頁(yè)
tcpdump參數(shù)詳解_第2頁(yè)
tcpdump參數(shù)詳解_第3頁(yè)
tcpdump參數(shù)詳解_第4頁(yè)
tcpdump參數(shù)詳解_第5頁(yè)
資源描述:

《tcpdump參數(shù)詳解》由會(huì)員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在教育資源-天天文庫(kù)

1、tcpdump參數(shù)詳解tcpdump主要進(jìn)行數(shù)據(jù)包捕獲,設(shè)置合適的參數(shù)能夠減少捕獲的數(shù)據(jù)包量,更有利于我們進(jìn)行數(shù)據(jù)分析。數(shù)據(jù)過濾  不帶任何參數(shù)的TcpDump將搜索系統(tǒng)中所有的網(wǎng)絡(luò)接口,并顯示它截獲的所有數(shù)據(jù),這些數(shù)據(jù)對(duì)我們不一定全都需要,而且數(shù)據(jù)太多不利于分析。所以,我們應(yīng)當(dāng)先想好需要哪些數(shù)據(jù),TcpDump提供以下參數(shù)供我們選擇數(shù)據(jù):  -b在數(shù)據(jù)-鏈路層上選擇協(xié)議,包括ip、arp、rarp、ipx都是這一層的?! ±纾簍cpdump-barp將只顯示網(wǎng)絡(luò)中的arp即地址轉(zhuǎn)換協(xié)議信息?! ?i選擇過濾的網(wǎng)絡(luò)接口,

2、如果是作為路由器至少有兩個(gè)網(wǎng)絡(luò)接口,通過這個(gè)選項(xiàng),就可以只過濾指定的接口上通過的數(shù)據(jù)。例如:  tcpdump-ieth0只顯示通過eth0接口上的所有報(bào)頭?! rc、dst、port、host、net、ether、gateway這幾個(gè)選項(xiàng)又分別包含src、dst、port、host、net、ehost等附加選項(xiàng)。他們用來分辨數(shù)據(jù)包的來源和去向,srchost192.168.0.1指定源主機(jī)IP地址是192.168.0.1,dstnet192.168.0.0/24指定目標(biāo)是網(wǎng)絡(luò)192.168.0.0。以此類推,host是

3、與其指定主機(jī)相關(guān)無(wú)論它是源還是目的,net是與其指定網(wǎng)絡(luò)相關(guān)的,ether后面跟的不是IP地址而是物理地址,而gateway則用于網(wǎng)關(guān)主機(jī)??赡苡悬c(diǎn)復(fù)雜,看下面例子就知道了:  tcpdumpsrchost192.168.0.1anddstnet192.168.0.0/24  過濾的是源主機(jī)為192.168.0.1與目的網(wǎng)絡(luò)為192.168.0.0的報(bào)頭?! cpdumpethersrc00:50:04:BA:9Banddst……  過濾源主機(jī)物理地址為XXX的報(bào)頭(為什么ethersrc后面沒有host或者net?物理

4、地址當(dāng)然不可能有網(wǎng)絡(luò)嘍)?! cpdumpsrchost192.168.0.1anddstportnottelnet  過濾源主機(jī)192.168.0.1和目的端口不是telnet的報(bào)頭?! picmparprarp和tcp、udp、icmp這些選項(xiàng)等都要放到第一個(gè)參數(shù)的位置,用來過濾數(shù)據(jù)報(bào)的類型?! ±纾骸 cpdumpipsrc……  只過濾數(shù)據(jù)-鏈路層上的IP報(bào)頭?! cpdumpudpandsrchost192.168.0.1  只過濾源主機(jī)192.168.0.1的所有udp報(bào)頭。  數(shù)據(jù)顯示/輸入輸出  

5、TcpDump提供了足夠的參數(shù)來讓我們選擇如何處理得到的數(shù)據(jù),如下所示:  -l可以將數(shù)據(jù)重定向。  如tcpdump-l>tcpcap.txt將得到的數(shù)據(jù)存入tcpcap.txt文件中?! ?n不進(jìn)行IP地址到主機(jī)名的轉(zhuǎn)換?! ∪绻皇褂眠@一項(xiàng),當(dāng)系統(tǒng)中存在某一主機(jī)的主機(jī)名時(shí),TcpDump會(huì)把IP地址轉(zhuǎn)換為主機(jī)名顯示,就像這樣:eth0<ntc9.1165>router.domain.net.telnet,使用-n后變成了:eth0<192.168.0.9.1165>192.168.0.1.telnet?! ?nn不進(jìn)

6、行端口名稱的轉(zhuǎn)換?! ∩厦孢@條信息使用-nn后就變成了:eth0<ntc9.1165>router.domain.net.23。  -N不打印出默認(rèn)的域名?! ∵€是這條信息-N后就是:eth0<ntc9.1165>router.telnet?! ?O不進(jìn)行匹配代碼的優(yōu)化?! ?t不打印UNIX時(shí)間戳,也就是不顯示時(shí)間?! ?tt打印原始的、未格式化過的時(shí)間?! ?v詳細(xì)的輸出,也就比普通的多了個(gè)TTL和服務(wù)類型TCPDUMP的使用方法??tcpdump采用命令行方式,它的命令格式為:  tcpdump[-adeflnNOp

7、qStvx][-c數(shù)量][-F文件名]          [-i網(wǎng)絡(luò)接口][-r文件名][-ssnaplen]          [-T類型][-w文件名][表達(dá)式]  1.tcpdump的選項(xiàng)介紹   -a   將網(wǎng)絡(luò)地址和廣播地址轉(zhuǎn)變成名字;   -d   將匹配信息包的代碼以人們能夠理解的匯編格式給出;   -dd   將匹配信息包的代碼以c語(yǔ)言程序段的格式給出;   -ddd   將匹配信息包的代碼以十進(jìn)制的形式給出;   -e   在輸出行打印出數(shù)據(jù)鏈路層的頭部信息;   -f   將外部的Internet地址以

8、數(shù)字的形式打印出來;   -l   使標(biāo)準(zhǔn)輸出變?yōu)榫彌_行形式;   -n   不把網(wǎng)絡(luò)地址轉(zhuǎn)換成名字;   -t   在輸出的每一行不打印時(shí)間戳;   -v   輸出一個(gè)稍微詳細(xì)的信息,例如在ip包中可以包括ttl和服務(wù)類型的信息;   -vv   輸出詳細(xì)的報(bào)文信息;   -c   在收到指定的包的數(shù)

當(dāng)前文檔最多預(yù)覽五頁(yè),下載文檔查看全文

此文檔下載收益歸作者所有

當(dāng)前文檔最多預(yù)覽五頁(yè),下載文檔查看全文
溫馨提示:
1. 部分包含數(shù)學(xué)公式或PPT動(dòng)畫的文件,查看預(yù)覽時(shí)可能會(huì)顯示錯(cuò)亂或異常,文件下載后無(wú)此問題,請(qǐng)放心下載。
2. 本文檔由用戶上傳,版權(quán)歸屬用戶,天天文庫(kù)負(fù)責(zé)整理代發(fā)布。如果您對(duì)本文檔版權(quán)有爭(zhēng)議請(qǐng)及時(shí)聯(lián)系客服。
3. 下載前請(qǐng)仔細(xì)閱讀文檔內(nèi)容,確認(rèn)文檔內(nèi)容符合您的需求后進(jìn)行下載,若出現(xiàn)內(nèi)容與標(biāo)題不符可向本站投訴處理。
4. 下載文檔時(shí)可能由于網(wǎng)絡(luò)波動(dòng)等原因無(wú)法下載或下載錯(cuò)誤,付費(fèi)完成后未能成功下載的用戶請(qǐng)聯(lián)系客服處理。