tcpdump 使用介绍
2013-12-16 13:13
295 查看
tcpdump 工具简介
tcpdump工具简介
1)定义
用简单的话来定义tcpdump,就是:dump the traffic on a network,根据使用者的定义对网络上的数据包进行截获的包分析工具
2)功能
它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来去掉无用的信息
tcpdump使用方法
1)tcpdump常用命令格式
tcpdump [ -adeflnNOpqStvx ] [ -c数量
] [ -F 文件名 ] [ -i网络接口 ] [ -r文件名
] [ -s 数据包大小 ] [ -T类型 ] [ -w文件名 ] [表达式
]
2)选项
-a 将网络地址和广播地址转变成名字
-e 在输出行打印出数据链路层的头部信息
-n 不把网络地址转换成名字
-t 在输出的每一行不打印时间戳
-c 在收到指定的包的数目后,tcpdump就会停止
-F 从指定的文件中读取表达式,忽略其它的表达式
-l 使标准输出变为缓冲行形式
-i 指定监听的网络接口
-r 从指定的文件中读取包(这些包一般通过-w选项产生)
-w 直接将包写入文件中,并不分析和打印出来
-T 将监听到的包直接解释为指定的类型的报文
-v 输出一个稍微详细的信息,例如在IP包中可以包括ttl和服务类型的信息
-vv 输出详细的报文信息
-X 用十六进制字码列出数据包资料
tcpdump示例
1)捕获特定网络接口的包
tcpdump -i eth2
2)捕获特定协议的包
tcpdump arp -i eth2
tcpdump rarp
tcpdump icmp
tcpdump igmp
tcpdum pip
tcpdump tcp
tcpdump udp
3)捕获特定主机的包
tcpdump host 128.128.14.12 -i eth0 –nvvvSe
4)捕获两个特定主机的包
tcpdump host 128.128.14.12 and 128.128.66.254 –nvvvSe
5)捕获一个主机所有和非特定主机通信的包
tcpdump host 128.128.14.12 and ! 128.128.66.254
6)捕获一个主机发往另一个特定主机的包
tcpdumpsrc
host 128.128.14.12 and dst 128.128.66.254
7)捕获一个主机发往特定子网的包
tcpdumpsrc host 128.128.14.12 anddst net 128.128.0.0/16
8)捕获源主机MAC地址的包
tcpdump ether src 28:6E:D4:4F:6E:A4 –nvvvSe
9)捕获广播包
tcpdump -i eth0 ether broadcast
10)捕获特定协议的包
tcpdumptcp port 23 –vvvSe
tcpdumptcp port 22 –vvvSe
vsftp协议的不安全性(抓包可以捕获root登陆密码)
tcpdump -i eth0tcp port 20 or port 21 -nvvveSXX
USM后台捕获SMM板告警
tcpdump
-i eth0udp
port 18999 anddst host 128.128.14.12 -s 500 -nvvvSe -T snmp
11)保存捕获的包到特定文件
tcpdump udp port 18999 anddst host 128.128.14.12 -s 500 -nvvvSe -w
/smmAlarm.cap
12)保存的文件可用高级抓包工具ethereal打开分析
tcpdump
读取先前已保存的文件
tcpdump
-r /smmAlarm.cap -nvvvSe
tcpdump工具简介
1)定义
用简单的话来定义tcpdump,就是:dump the traffic on a network,根据使用者的定义对网络上的数据包进行截获的包分析工具
2)功能
它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来去掉无用的信息
tcpdump使用方法
1)tcpdump常用命令格式
tcpdump [ -adeflnNOpqStvx ] [ -c数量
] [ -F 文件名 ] [ -i网络接口 ] [ -r文件名
] [ -s 数据包大小 ] [ -T类型 ] [ -w文件名 ] [表达式
]
2)选项
-a 将网络地址和广播地址转变成名字
-e 在输出行打印出数据链路层的头部信息
-n 不把网络地址转换成名字
-t 在输出的每一行不打印时间戳
-c 在收到指定的包的数目后,tcpdump就会停止
-F 从指定的文件中读取表达式,忽略其它的表达式
-l 使标准输出变为缓冲行形式
-i 指定监听的网络接口
-r 从指定的文件中读取包(这些包一般通过-w选项产生)
-w 直接将包写入文件中,并不分析和打印出来
-T 将监听到的包直接解释为指定的类型的报文
-v 输出一个稍微详细的信息,例如在IP包中可以包括ttl和服务类型的信息
-vv 输出详细的报文信息
-X 用十六进制字码列出数据包资料
tcpdump示例
1)捕获特定网络接口的包
tcpdump -i eth2
2)捕获特定协议的包
tcpdump arp -i eth2
tcpdump rarp
tcpdump icmp
tcpdump igmp
tcpdum pip
tcpdump tcp
tcpdump udp
3)捕获特定主机的包
tcpdump host 128.128.14.12 -i eth0 –nvvvSe
4)捕获两个特定主机的包
tcpdump host 128.128.14.12 and 128.128.66.254 –nvvvSe
5)捕获一个主机所有和非特定主机通信的包
tcpdump host 128.128.14.12 and ! 128.128.66.254
6)捕获一个主机发往另一个特定主机的包
tcpdumpsrc
host 128.128.14.12 and dst 128.128.66.254
7)捕获一个主机发往特定子网的包
tcpdumpsrc host 128.128.14.12 anddst net 128.128.0.0/16
8)捕获源主机MAC地址的包
tcpdump ether src 28:6E:D4:4F:6E:A4 –nvvvSe
9)捕获广播包
tcpdump -i eth0 ether broadcast
10)捕获特定协议的包
tcpdumptcp port 23 –vvvSe
tcpdumptcp port 22 –vvvSe
vsftp协议的不安全性(抓包可以捕获root登陆密码)
tcpdump -i eth0tcp port 20 or port 21 -nvvveSXX
USM后台捕获SMM板告警
tcpdump
-i eth0udp
port 18999 anddst host 128.128.14.12 -s 500 -nvvvSe -T snmp
11)保存捕获的包到特定文件
tcpdump udp port 18999 anddst host 128.128.14.12 -s 500 -nvvvSe -w
/smmAlarm.cap
12)保存的文件可用高级抓包工具ethereal打开分析
tcpdump
读取先前已保存的文件
tcpdump
-r /smmAlarm.cap -nvvvSe
相关文章推荐
- 开源网络库的分析libev libevent nginx ....
- HttpWebRequest - Asynchronous Programming Model/Task.Factory.FromAsyc
- Windows2003中IIS配置MVC提示HTTP错误 404-文件或目录未找到
- win7做WIFI热点:3分钟笔记本变无线路由器
- 全面认识网络诊断命令功能与参数——netsh diagnostic命令
- [HTTP] response code:304 节省客户端流量
- HTTP请求和头标说明
- TCP 初步认识
- linux网络编程之socket(十六):通过UNIX域套接字传递描述符和 sendmsg/recvmsg 函数
- linux网络编程之socket(十五):UNIX域套接字编程和socketpair 函数
- linux网络编程之socket(十四):基于UDP协议的网络程序
- linux网络编程之socket(十三):epoll 系列函数简介、与select、poll 的区别
- linux网络编程之socket(十二):select函数的并发限制和 poll 函数应用举例
- linux网络编程之socket(十一):套接字I/O超时设置方法和用select实现超时
- linux网络编程之socket(十):shutdown 与 close 函数 的区别
- linux网络编程之socket(九):使用select函数改进客户端/服务器端程序
- android 网络下载获取文件大小
- linux网络编程之socket(八):五种I/O模型和select函数简介
- http-headers服务器返回的首部错误码304
- 面向报文(UDP)和面向字节流(TCP)的区别