才發現...
tcpdump要用到時,參數忘光光....
這篇好用...
第一種是關於類型的關鍵字,主要包括host,net,port,
例如 host 210.27.48.2,
指明 210.27.48.2是一台主機,net
202.0.0.0 指明 202.0.0.0是一個網絡地址,
port
23 指明端口號是23。如果沒有指定類型,預設的類型是host.
第二種是確定傳輸方向的關鍵字,主要包括src,dst ,dst or src, dst and src ,
這些關鍵字指明了傳輸的方向。
舉例說明,src 210.27.48.2 ,指明ip包中源地址是210.27.48.2 ,
dst net 202.0.0.0 指明目的網絡地址是202.0.0.0 。
如果沒有指明方向關鍵字,則預設是src or dst關鍵字。
第三種是協議的關鍵字,主要包括fddi,ip,arp,rarp,tcp,udp等類型。
Fddi指明是在FDDI(分佈式光纖數據接口網絡)上的特定 的網絡協議,實際上它是"ether"的別名,fddi和ether具有類似的源地址和目的地址,所以可以將fddi協議包當作ether的包進行處理和 分析。其他的幾個關鍵字就是指明了監聽的包的協議內容。
如果沒有指定任何協議,則tcpdump將會監聽所有協議的信息包。
第二種是確定傳輸方向的關鍵字,主要包括src,dst ,dst or src, dst and src ,
這些關鍵字指明了傳輸的方向。
舉例說明,src 210.27.48.2 ,指明ip包中源地址是210.27.48.2 ,
dst net 202.0.0.0 指明目的網絡地址是202.0.0.0 。
如果沒有指明方向關鍵字,則預設是src or dst關鍵字。
第三種是協議的關鍵字,主要包括fddi,ip,arp,rarp,tcp,udp等類型。
Fddi指明是在FDDI(分佈式光纖數據接口網絡)上的特定 的網絡協議,實際上它是"ether"的別名,fddi和ether具有類似的源地址和目的地址,所以可以將fddi協議包當作ether的包進行處理和 分析。其他的幾個關鍵字就是指明了監聽的包的協議內容。
如果沒有指定任何協議,則tcpdump將會監聽所有協議的信息包。
除了這三種類型的關鍵字之外,其他重要的關鍵字如下:gateway, broadcast,less,greater,
還有三種邏輯運算,取非運算是
'not ' '! ', 與運算是'and','&&';或運算
是'or'
,'││';
這些關鍵字可以組合起來構成強大的組合條件來滿足人們的需要,下面舉幾個例子來說明。
這些關鍵字可以組合起來構成強大的組合條件來滿足人們的需要,下面舉幾個例子來說明。
普通情況下,直接啟動tcpdump將監視第一個網絡界面上所有流過的數據包。
# tcpdump
tcpdump: listening on fxp0
11:58:47.873028 202.102.245.40.netbios-ns > 202.102.245.127.netbios-ns: udp 50
11:58:47.974331 0:10:7b:8:3a:56 > 1:80:c2:0:0:0 802.1d ui/C len=43
0000 0000 0080 0000 1007 cf08 0900 0000
0e80 0000 902b 4695 0980 8701 0014 0002
000f 0000 902b 4695 0008 00
11:58:48.373134 0:0:e8:5b:6d:85 > Broadcast sap e0 ui/C len=97
ffff 0060 0004 ffff ffff ffff ffff ffff
0452 ffff ffff 0000 e85b 6d85 4008 0002
0640 4d41 5354 4552 5f57 4542 0000 0000
0000 00
使用 -i 參數指定tcpdump監聽的網路界面,這在計算機具有多個網路界面時非常有用,
使用 -c 參數指定要監聽的數據包數量,
使用 -w 參數指定將監聽到的數據包寫入文件中保存
A 想要截獲所有210.27.48.1 的主機收到的和發出的所有的數據包:
#tcpdump host 210.27.48.1
B 想要截取主機210.27.48.1 和主機210.27.48.2 或210.27.48.3的通信,
使用命令:(在命令 行中適用括號時,
#tcpdump host 210.27.48.1 and \ (210.27.48.2 or 210.27.48.3 \)
C 如果想要截取主機210.27.48.1除了和主機210.27.48.2之外所有主機通信的ip包,使用命令:
#tcpdump ip host 210.27.48.1 and ! 210.27.48.2
D 如果想要獲取主機210.27.48.1接收或發出的telnet包,使用如下命令:
#tcpdump tcp port 23 host 210.27.48.1
E 對本機的udp 123 端口進行監視 123 為ntp的服務端口
# tcpdump udp port 123
F 系統將只對名為hostname的主機的通信數據包進行監視。
主機名可以是本地主機,也可以是網絡上的任何一台計算機。
下面的命令可以讀取主機hostname發送的所有數據:
#tcpdump -i eth0 src host hostname
G 下面的命令可以監視所有送到主機hostname的數據包:
#tcpdump -i eth0 dst host hostname
H 我們還可以監視通過指定網關的數據包:
#tcpdump -i eth0 gateway Gatewayname
I 如果你還想監聽某主機指定端口的TCP或UDP數據包,那麼執行以下命令:
#tcpdump -i eth0 host hostname and port 80
第二種是確定傳輸方向的關鍵字,主要包括src , dst ,dst or src, dst and src ,
如果我們只需要列出送到80端口的數據包,用dst port;
如果我們只希望看到返回80端口的數據包,用src
port。
#tcpdump –i eth0 host hostname and dst port 80目的端口是80或者
#tcpdump –i eth0 host hostname and src port 80
來源端口是80一般是提供http的服務的主機
如果條件很多的話要在條件之前加and 或 or 或 not
#tcpdump -i eth0 host ! 211.161.223.70 and ! 211.161.223.71 and dst port 80
如果在ethernet 使用混雜模式 系統的日誌將會記錄
May 7 20:03:46 localhost kernel: eth0: Promiscuous mode enabled.
May 7 20:03:46 localhost kernel: device eth0 entered promiscuous mode
May 7 20:03:57 localhost kernel: device eth0 left promiscuous mode
tcpdump對截獲的數據並沒有進行徹底解碼,
數據包內的大部分內容是使用十六進制的形式直接打印輸出的。
顯然這不利於分析網絡故障,通常的解決辦法是先使用帶 -w 參數的tcpdump 截獲數據
並保存到文件中,然後再使用其他程序進行解碼分析。
#tcpdump –i eth0 host hostname and dst port 80目的端口是80或者
#tcpdump –i eth0 host hostname and src port 80
來源端口是80一般是提供http的服務的主機
如果條件很多的話要在條件之前加and 或 or 或 not
#tcpdump -i eth0 host ! 211.161.223.70 and ! 211.161.223.71 and dst port 80
如果在ethernet 使用混雜模式 系統的日誌將會記錄
May 7 20:03:46 localhost kernel: eth0: Promiscuous mode enabled.
May 7 20:03:46 localhost kernel: device eth0 entered promiscuous mode
May 7 20:03:57 localhost kernel: device eth0 left promiscuous mode
tcpdump對截獲的數據並沒有進行徹底解碼,
數據包內的大部分內容是使用十六進制的形式直接打印輸出的。
顯然這不利於分析網絡故障,通常的解決辦法是先使用帶 -w 參數的tcpdump 截獲數據
並保存到文件中,然後再使用其他程序進行解碼分析。
當然也應該定義過濾規則,以避免截取的數據包填滿整個硬碟。
~~
沒有留言:
張貼留言