中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

怎么使用tcpdump

發布時間:2021-11-15 15:52:15 來源:億速云 閱讀:157 作者:iii 欄目:大數據

本篇內容介紹了“怎么使用tcpdump”的有關知識,在實際案例的操作過程中,不少人都會遇到這樣的困境,接下來就讓小編帶領大家學習一下如何處理這些情況吧!希望大家仔細閱讀,能夠學有所成!

(1)tcp: ip icmp arp rarp 和 tcp、udp、icmp這些選項等都要放到第一個參數的位置,用來過濾數據報的類型

(2)-i eth2 : 只抓經過接口eth2的包

(3)-t : 不顯示時間戳

(4)-s 0 : 抓取數據包時默認抓取長度為68字節。加上-S 0 后可以抓到完整的數據包

(5)-c 100 : 只抓取100個數據包

(6)dst port ! 22 : 不抓取目標端口是22的數據包

(7)src net 192.168.1.0/24 : 數據包的源網絡地址為192.168.1.0/24

(8)-w ./target.cap : 保存成cap文件,方便用ethereal(即wireshark)分析

使用tcpdump抓取HTTP包

tcpdump  -XvvennSs 0 -i eth0 tcp[20:2]=0x4745 or tcp[20:2]=0x4854

0x4745 為"GET"前兩個字母"GE",0x4854 為"HTTP"前兩個字母"HT"。

-A  以ASCII碼方式顯示每一個數據包(不會顯示數據包中鏈路層頭部信息). 在抓取包含網頁數據的數據包時, 可方便查看數據(nt: 即Handyforcapturing web pages).

-t     在每行輸出中不打印時間戳

-tt    不對每行輸出的時間進行格式處理(nt: 這種格式一眼可能看不出其含義, 如時間戳打印成1261798315)

-ttt   tcpdump 輸出時, 每兩行打印之間會延遲一個段時間(以毫秒為單位)

-tttt  在每行打印的時間戳之前添加日期的打印

-u     打印出未加密的NFS 句柄(nt: handle可理解為NFS 中使用的文件句柄, 這將包括文件夾和文件夾中的文件)

-U    使得當tcpdump在使用-w 選項時, 其文件寫入與包的保存同步.(nt: 即, 當每個數據包被保存時, 它將及時被寫入文件中,而不是等文件的輸出緩沖已滿時才真正寫入此文件)

-U 標志在老版本的libcap庫(nt: tcpdump 所依賴的報文捕獲庫)上不起作用, 因為其中缺乏pcap_cump_flush()函數.

-v    當分析和打印的時候, 產生詳細的輸出. 比如, 包的生存時間, 標識, 總長度以及IP包的一些選項. 這也會打開一些附加的包完整性檢測, 比如對IP或ICMP包頭部的校驗和.

-vv   產生比-v更詳細的輸出. 比如, NFS回應包中的附加域將會被打印, SMB數據包也會被完全解碼.

-vvv  產生比-vv更詳細的輸出. 比如, telent 時所使用的SB, SE 選項將會被打印, 如果telnet同時使用的是圖形界面,

其相應的圖形選項將會以16進制的方式打印出來(nt: telnet 的SB,SE選項含義未知, 另需補充).

-w    把包數據直接寫入文件而不進行分析和打印輸出. 這些包數據可在隨后通過-r 選項來重新讀入并進行分析和打印.

-W    filecount

-x    當分析和打印時, tcpdump 會打印每個包的頭部數據, 同時會以16進制打印出每個包的數據(但不包括連接層的頭部).總共打印的數據大小不會超過整個數據包的大小與snaplen 中的最小值. 必須要注意的是, 如果高層協議數據沒有snaplen 這么長,并且數據鏈路層(比如, Ethernet層)有填充數據, 則這些填充數據也會被打印.(nt: soforlink  layers  that pad, 未能銜接理解和翻譯, 需補充 )

-xx   tcpdump 會打印每個包的頭部數據, 同時會以16進制打印出每個包的數據, 其中包括數據鏈路層的頭部.

-X    當分析和打印時, tcpdump 會打印每個包的頭部數據, 同時會以16進制和ASCII碼形式打印出每個包的數據(但不包括連接層的頭部).這對于分析一些新協議的數據包很方便.

-XX   當分析和打印時, tcpdump 會打印每個包的頭部數據, 同時會以16進制和ASCII碼形式打印出每個包的數據, 其中包括數據鏈路層的頭部.這對于分析一些新協議的數據包很方便.

-y    datalinktype

設置tcpdump 只捕獲數據鏈路層協議類型是datalinktype的數據包

-Z    user

使tcpdump 放棄自己的超級權限(如果以root用戶啟動tcpdump, tcpdump將會有超級用戶權限), 并把當前tcpdump的用戶ID設置為user, 組ID設置為user首要所屬組的ID(nt: tcpdump 此處可理解為tcpdump 運行之后對應的進程)

此選項也可在編譯的時候被設置為默認打開.(nt: 此時user 的取值未知, 需補充)

一些例子:

A、想要截獲所有210.27.48.1 的主機收到的和發出的所有的數據包:

    #tcpdump host 210.27.48.1

B、想要截獲主機210.27.48.1 和主機210.27.48.2 或210.27.48.3的通信,使用命令:(在命令行中適用   括號時,一定要

    #tcpdump host 210.27.48.1 and \ (210.27.48.2 or 210.27.48.3 \)

C、如果想要獲取主機210.27.48.1除了和主機210.27.48.2之外所有主機通信的ip包,使用命令:

    #tcpdump ip host 210.27.48.1 and ! 210.27.48.2

D、如果想要獲取主機210.27.48.1接收或發出的telnet包,使用如下命令:

    #tcpdump tcp port 23 and host 210.27.48.1

從所有網卡中捕獲數據包

$ tcpdump -i any

從指定網卡中捕獲數據包

$ tcpdump -i eth0

“怎么使用tcpdump”的內容就介紹到這里了,感謝大家的閱讀。如果想了解更多行業相關的知識可以關注億速云網站,小編將為大家輸出更多高質量的實用文章!

向AI問一下細節
推薦閱讀:
  1. tcpdump筆記
  2. Tcpdump使用

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

顺义区| 丰城市| 清丰县| 颍上县| 巴楚县| 精河县| 马关县| 冀州市| 峨边| 黄平县| 长顺县| 松潘县| 河池市| 青浦区| 东乌珠穆沁旗| 宜川县| 冷水江市| 吉林省| 汉阴县| 化德县| 邻水| 东城区| 莱州市| 张家川| 若尔盖县| 宜丰县| 宿迁市| 茶陵县| 邵阳县| 商南县| 奎屯市| 灵川县| 沭阳县| 凉城县| 尼玛县| 郁南县| 松阳县| 鄯善县| 河源市| 旅游| 梓潼县|