电子文档交易市场
安卓APP | ios版本
电子文档交易市场
安卓APP | ios版本

tcpdump实例

6页
  • 卖家[上传人]:小**
  • 文档编号:89127500
  • 上传时间:2019-05-19
  • 文档格式:DOC
  • 文档大小:23KB
  • / 6 举报 版权申诉 马上下载
  • 文本预览
  • 下载提示
  • 常见问题
    • 1、tcpdump实例82650603工作中偶尔也会遇到,特记录下来,以备将来查找使用。笔者维护的一台邮件服务器,发现老是有人上来连接25端口,用了几种软件,如iptraf及wireshark,etherape发现效果均不理想,还是Tcpdump更直观方便,如命令tcpdump tcp port 25 and host 211.147.1.11 awstat.txt,即可生成一份详细的连接报告。感觉tcpdump还是很实用的,下面举出例子说明下它的使用方法:(抚) (1) 想要截获所有210.27.48.1的主机收到的和发出的所有的数据包: #tcpdump host 210.27.48.1 (2) 想要截获主机210.27.48.1和主机210.27.48.2或210.27.48.3的通信,使用命令(在命令行中使用括号时,一定要转义 #tcpdump host 210.27.48.1 and (210.27.48.2 or 210.27.48.3 ) (3) 如果想要获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包,使用命令: #tcpdump ip

      2、 host 210.27.48.1 and !210.27.48.2 (4) 如果想要获取主机210.27.48.1接收或发出的smtp包,使用如下命令: #tcpdump tcp port 25 and host 210.27.48.1 #这条注意,很多书上都传错了,之前有一个and,不然运行时出现syntax报错。 (5)如果怀疑系统正受到拒绝服务(Dos)攻击,网络管理员可以通过截获发往本机的所有ICMP包,来确实目前是否有大量的ping指令流向服务器,此时可用如下指令: #tcpdump icmp -n -i eth0 #用此命令测试时发现有联系的只有二个DNS,很正常tcpdump 的输出结果介绍- 下面我们介绍几种典型的tcpdump命令的输出信息 (1) 数据链路层头信息 使用命令#tcpdump -e host ice ice是一台装有linux的主机,她的MAC地址是0:90:27:58:AF:1A H219是一台装有SOLARIC的SUN工作站,它的MAC地址是8:0:20:79:5B:46;上一条命令的输出结果如下所示: 21:50:12.847509 eth0

      3、ice. telnet 0:0(0) ack 22535 win 8760 (DF) 分析:21:50:12是显示的时间, 847509是ID号,eth0 表示从网络接口设备发送数据包, 8:0:20:79:5b:46是主机H219的MAC地址,它表明是从源地址H219发来的数据包. 0:90:27:58:af:1a 是主机ICE的MAC地址,表示该数据包的目的地址是ICE . ip是表明该数据包是IP数据包,60是数据包的长度, h219.33357 ice. telnet表明该数据包是从主机H219的33357端口发往主机ICE的TELNET(23)端口. ack 22535表明对序列号是222535的包进行响应. win 8760表明发送窗口的大小是8760. (2) ARP包的TCPDUMP输出信息 使用命令#tcpdump arp 得到的输出结果是: 22:32:42.802509 eth0 arp who-has route tell ice (0:90:27:58:af:1a) 22:32:42.802902 eth0 表明从主机发出该数据包, arp表明是ARP请求包,

      4、 who-has route tell ice表明是主机ICE请求主机ROUTE的MAC地址。 0:90:27:58:af:1a是主机ICE的MAC地址。 (3) TCP包的输出信息 用TCPDUMP捕获的TCP包的一般输出信息是: src dst: flags data-seqno ack window urgent options src dst:表明从源地址到目的地址, flags是TCP包中的标志信息,S 是SYN标志, F (FIN), P (PUSH) , R (RST) . (没有标记); data-seqno是数据包中的数据的顺序号, ack是下次期望的顺序号, window是接收缓存的窗口大小, urgent表明数据包中是否有紧急指针.Options是选项. (4) UDP包的输出信息 用TCPDUMP捕获的UDP包的一般输出信息是: route.port1 ice.port2: udp lenth UDP十分简单,上面的输出行表明从主机ROUTE的port1端口发出的一个UDP数据包到主机ICE的port2端口,类型是UDP,包的长度是lenth第一种是关于类型的关

      5、键字,主要包括host,net,port, 例如 host 210.27.48.2,指明 210.27.48.2是一台主机,net 202.0.0.0 指明 202.0.0.0是一个网络地址,port 23 指明端口号是23。如果没有指定类型,缺省的类型是host.第二种是确定传输方向的关键字,主要包括src , dst ,dst or src, dst and src ,这些关键字指明了传输的方向。举例说明,src 210.27.48.2 ,指明ip包中源地址是210.27.48.2 , dst net 202.0.0.0 指明目的网络地址是202.0.0.0 。如果没有指明方向关键字,则缺省是src or dst关键字。第三种是协议的关键字,主要包括fddi,ip,arp,rarp,tcp,udp等类型。Fddi指明是在FDDI(分布式光纤数据接口网络)上的特定的网络协议,实际上它是ether的别名,fddi和ether具有类似的源地址和目的地址,所以可以将fddi协议包当作ether的包进行处理和分析。其他的几个关键字就是指明了监听的包的协议内容。如果没有指定任何协议,则tcpd

      6、ump将会监听所有协议的信息包。除了这三种类型的关键字之外,其他重要的关键字如下:gateway, broadcast,less,greater,还有三种逻辑运算,取非运算是 not ! , 与运算是and,&;或运算 是or ,;这些关键字可以组合起来构成强大的组合条件来满足人们的需要,下面举几个例子来说明。普通情况下,直接启动tcpdump将监视第一个网络界面上所有流过的数据包。tcpdump采用命令行方式,它的命令格式为:tcpdump -adeflnNOpqStvx -c 数量 -F 文件名 -i 网络接口 -r 文件名 -s snaplen -T 类型 -w 文件名 表达式 tcpdump的选项介绍-a 将网络地址和广播地址转变成名字;-d 将匹配信息包的代码以人们能够理解的汇编格式给出;-dd 将匹配信息包的代码以c语言程序段的格式给出;-ddd 将匹配信息包的代码以十进制的形式给出;-e 在输出行打印出数据链路层的头部信息;-f 将外部的Internet地址以数字的形式打印出来;-l 使标准输出变为缓冲行形式;-n 不把网络地址转换成名字;-t 在输出的每一行不打印时间戳

      7、;-v 输出一个稍微详细的信息,例如在ip包中可以包括ttl和服务类型的信息;-vv 输出详细的报文信息;-c 在收到指定的包的数目后,tcpdump就会停止;-F 从指定的文件中读取表达式,忽略其它的表达式;-i 指定监听的网络接口;-r 从指定的文件中读取包(这些包一般通过-w选项产生);-w 直接将包写入文件中,并不分析和打印出来;-T 将监听到的包直接解释为指定的类型的报文,常见的类型有rpc(远程过程调用)和snmp(简单网络管理协议;)tcpdump的表达式介绍- 表达式是一个正则表达式,tcpdump利用它作为过滤报文的条件,如果一个报文满足表达式的条件,则这个报文将会被捕获。如果没有给出任何条件,则网络上所有的信息包将会被截获。 在表达式中一般如下几种类型的关键字,一种是关于类型的关键字,主要包括host, net, port, 例如host 210.27.48.2,指明210.27.48.2是一台主机,net 202.0.0.0指明202.0.0.0是一个网络地址,port 23指明端口号是23。如果没有指定类型,缺省的类型是host. 第二种是确定传输方向的关键字,主要包括src, dst, dst or src, dst and src,这些关键字指明了传输的方向。举例说明,src 210.27.48.2,指明ip包中源地址是210.27.48.2,dst net 202.0.0.0指明目的网络地址是202.0.0.0。如果没有指明方向关键字,则缺省是src or dst关键字。 第三种是协议的关键字,主要包括fddi, ip ,arp, rarp, tcp, udp等类型。fddi指明是在FDDI(分布式光纤数据接口网络)上的特定的网络协议,实际上它是ether的别名,fddi和ether具有类似的源地址和目的地址,所以可以将fddi协议包当作ether的包进行处理和分析。 其他的几个关键字就是指明了监听的包的协议内容。如果没有指定任何协议,则tcpdump将会监听所有协议的信息包。 除了这三种类型的关键字之外,其他重要的关键字如下:gateway, broadcast, less, greater还有三种逻辑运算,取非运算是 not, !;与运算是and, &; 或运算是or, |

      《tcpdump实例》由会员小**分享,可在线阅读,更多相关《tcpdump实例》请在金锄头文库上搜索。

      点击阅读更多内容
    最新标签
    发车时刻表 长途客运 入党志愿书填写模板精品 庆祝建党101周年多体裁诗歌朗诵素材汇编10篇唯一微庆祝 智能家居系统本科论文 心得感悟 雁楠中学 20230513224122 2022 公安主题党日 部编版四年级第三单元综合性学习课件 机关事务中心2022年全面依法治区工作总结及来年工作安排 入党积极分子自我推荐 世界水日ppt 关于构建更高水平的全民健身公共服务体系的意见 空气单元分析 哈里德课件 2022年乡村振兴驻村工作计划 空气教材分析 五年级下册科学教材分析 退役军人事务局季度工作总结 集装箱房合同 2021年财务报表 2022年继续教育公需课 2022年公需课 2022年日历每月一张 名词性从句在写作中的应用 局域网技术与局域网组建 施工网格 薪资体系 运维实施方案 硫酸安全技术 柔韧训练 既有居住建筑节能改造技术规程 建筑工地疫情防控 大型工程技术风险 磷酸二氢钾 2022年小学三年级语文下册教学总结例文 少儿美术-小花 2022年环保倡议书模板六篇 2022年监理辞职报告精选 2022年畅想未来记叙文精品 企业信息化建设与管理课程实验指导书范本 草房子读后感-第1篇 小数乘整数教学PPT课件人教版五年级数学上册 2022年教师个人工作计划范本-工作计划 国学小名士经典诵读电视大赛观后感诵读经典传承美德 医疗质量管理制度 2 2022年小学体育教师学期工作总结 2022年家长会心得体会集合15篇
    关于金锄头网 - 版权申诉 - 免责声明 - 诚邀英才 - 联系我们
    手机版 | 川公网安备 51140202000112号 | 经营许可证(蜀ICP备13022795号)
    ©2008-2016 by Sichuan Goldhoe Inc. All Rights Reserved.