没有合适的资源?快使用搜索试试~ 我知道了~
首页TCPDUMP中文手册最详细的手册
资源详情
资源评论
资源推荐
tcpdump 的使用
采用命令行方式,它的命令格式为:
tcpdump [ - a d e n N O p q S t v x ]
[ -c 数量 ]
[ -F 文件名 ]
[ -i 网络接口 ]
[ -r 文件名]
[ -s snaplen ]
[ -T 类型 ]
[ -w 文件名 ]
[表达式 ]
描述(DESCRIPTION)
打印出在某个网络界面上匹配布尔表达式 的报头
对于 的 或 界面要运行 你必须有 或的读访问权限
对于 的 你必须有网络仿真设备如 的读访问权限
对于 !"# 的 你必须是 或者把它安装成 的设置 程序对于 $%$# 的 你必
须是 或者把它安装成 的设置 程序对于 &你必须是 或者把它安装成 的设
置 程序
对于 " 和 '(")$#一旦超级用户使用 *(+开放了 操作模式
!任何用户都可以运行
对于 ,'你必须有的读访问权限
1. tcpdump 的选项介绍
参数 介绍
!
将网络地址和广播地址转变成名字
!
将匹配信息包的代码以人们能够理解的汇编格式给出
!
将匹配信息包的代码以 语言程序段的格式给出
!
将匹配信息包的代码以十进制的形式给出
!
在输出行打印出数据链路层的头部信息
!
将外部的 $ 地址以数字的形式打印出来
!
使标准输出变为缓冲行形式
!
不把网络地址转换成名字
!
在输出的每一行不打印时间戳
!
输出一个稍微详细的信息,例如在 包中可以包括 和服务类型的信息
!
输出详细的报文信息
!
在收到指定的包的数目后, 就会停止
!-
从指定的文件中读取表达式忽略其它的表达式
!
指定监听的网络接口
!
从指定的文件中读取包这些包一般通过! 选项产生
!
直接将包写入文件中,并不分析和打印出来
!
将监听到的包直接解释为指定的类型的报文,常见的类型有 (远程过程调
用)和 (简单网络管理协议;)
2. tcpdump 的表达式介绍
表达式是一个正则表达式, 利用它作为过滤报文的条件,如果一个报文满足表达式的条
件,则这个报文将会被捕获。如果没有给出任何条件,则网络上所有的信息包将会被截获。
在表达式中一般如下几种类型的关键字,一种是关于类型的关键字,主要包括 .,,/
例如 ./012034+0,指明 012034+0 是一台主机,/020222/指明 020222 是一个网
络地址,/05/指明端口号是 05。如果没有指定类型,缺省的类型是 .第二种是确定传输方向的
关键字,主要包括 /////////这些关键字指明了传输的方向。举例说明,/
012034+0/指明 包中源地址是 012034+0////020222/指明目的网络地址是
020222/。如果没有指明方向关键字,则缺省是 // 关键字。
第三种是协议的关键字,主要包括 / 等类型。- 指明是在 -''$分布
式光纤数据接口网络上的特定的网络协议,实际上它是6.6的别名, 和 . 具有类似的源地
址和目的地址,所以可以将 协议包当作 . 的包进行处理和分析。
其他的几个关键字就是指明了监听的包的协议内容。如果没有指定任何协议,则 将会监
听所有协议的信息包。
除了这三种类型的关键字之外,其他重要的关键字如下:(7///(/
还有三种逻辑运算,取非运算是 8/8/89/8/与运算是888::8;或运算 是88/8<<8;
这些关键字可以组合起来构成强大的组合条件来满足人们的需要,下面举几个例子来说明。
1 想要截获所有 012034+1/的主机收到的和发出的所有的数据包:
=/./012034+1
0 想要截获主机 012034+1/和主机 012034+0/或 012034+5 的通信,使用命令:(。
在命令行中使用括号时,一定要
=/./012034+1//>/012034+0//012034+5/>/
5 如果想要获取主机 012034+1 除了和主机 012034+0 之外所有主机通信的 包,使用
命令:
=//./012034+1//9/012034+0
4 如果想要获取主机 012034+1 接收或发出的 包,使用如下命令:
=///05/./012034+1/
3. tcpdump 的输出结果介绍
下面我们介绍几种典型的 命令的输出信息
1 数据链路层头信息
=/!/./
/是一台装有 的主机,她的 ?@A 地址是 2:B2:03:C+:@-:1@
01B 是一台装有 &@%$A 的 ") 工作站,它的 ?@A 地址是 +:2:02:3B:,:4D;上
一条命令的输出结果如下所示:
01C210+43C2B/.2/E/+2023BC4D//2B203C+1//D2/.01B555C3/F/
/222//00C5C//+3D2/'-
分析:01:C2:10 是显示的时间, +43C2B 是 $' 号,.2/E表示从网络接口 .2/接受该
数据包,.2/F表示从网络接口设备发送数据包/+2023BC4D 是主机 01B 的 ?@A 地
址它表明是从源地址 01B 发来的数据包/2B203C+1 是主机 $AG 的 ?@A 地址表示
该数据包的目的地址是 $AG///是表明该数据包是 $ 数据包D2/是数据包的长度/
.01B555C3/F//表明该数据包是从主机 01B 的 555C3 端口发往主机 $AG 的
G&)G05端口//00C5C 表明对序列号是 000C5C 的包进行响应//+3D2 表明发送
窗口的大小是 +3D2
0 @% 包的 A '"? 输出信息
使用命令=//
得到的输出结果是:
005040+20C2B/.2/F//.!.////2B203C+1
005040+20B20/.2/E//7//!/2B2031012DD/2B203C+1
分析/005040 是时间戳/+20C2B 是 $' 号/.2/F表明从主机发出该数据包/ 表明是
@% 请求包/.!./// 表明是主机 $AG 请求主机 %"G 的 ?@A 地址。
2B203C+1 是主机 $AG 的 ?@A 地址。
5 A 包的输出信息
用 A '"? 捕获的 A 包的一般输出信息是:
/F//H(/!I///(/
/F/表明从源地址到目的地址/H( 是 A 包中的标志信息/是 J) 标志/-/-$)/
/ "//%/%/66/没有标记;/!I 是数据包中的数据的顺序号/ 是下次期
望的顺序号/ 是接收缓存的窗口大小/( 表明数据包中是否有紧急指针/
是选项
4 "' 包的输出信息
用 A '"? 捕获的 "' 包的一般输出信息是:
1/F/0//.
"' 十分简单,上面的输出行表明从主机 %"G 的 1 端口发出的一个 "' 数据包到主
机 $AG 的 0 端口,类型是 "' , 包的长度是 .
TCPDUMP 中文手册最详细的手册
名称)@?G
!转储网络上的数据流
总览J) $
K!H)ILK!LK!-*L
K!LK!*LK!L
K!7LK!*LKL
描述'GA%$ $)
打印出在某个网络界面上匹配布尔表达式 的报头
对于 的 或 界面要运行 你必须有 或的读访问权限
对于 的 你必须有网络仿真设备如 的读访问权限
对于 !"# 的 你必须是 或者把它安装成 的设置 程序对于 $%$# 的 你必须是
或者把它安装成 的设置 程序对于 &你必须是 或者把它安装成 的设置 程序
对于 " 和 '(")$#一旦超级用户使用 *(+开放了 操作模式!
任何用户都可以运行
对于 ,'你必须有的读访问权限
选项 $)
!
试着把网络和广播地址转换成名称
!
当收到 报文后退出
!
把编译好的报文匹配模板!.(翻译成可读形式传往标准输出然后退出
!
把报文匹配模板!.(以 A 程序片断的形式输出
剩余16页未读,继续阅读
khalily
- 粉丝: 1
- 资源: 6
上传资源 快速赚钱
- 我的内容管理 收起
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
会员权益专享
最新资源
- 2022年中国足球球迷营销价值报告.pdf
- 房地产培训 -营销总每天在干嘛.pptx
- 黄色简约实用介绍_汇报PPT模板.pptx
- 嵌入式系统原理及应用:第三章 ARM编程简介_3.pdf
- 多媒体应用系统.pptx
- 黄灰配色简约设计精美大气商务汇报PPT模板.pptx
- 用matlab绘制差分方程Z变换-反变换-zplane-residuez-tf2zp-zp2tf-tf2sos-sos2tf-幅相频谱等等.docx
- 网络营销策略-网络营销团队的建立.docx
- 电子商务示范企业申请报告.doc
- 淡雅灰低面风背景完整框架创业商业计划书PPT模板.pptx
- 计算模型与算法技术:10-Iterative Improvement.ppt
- 计算模型与算法技术:9-Greedy Technique.ppt
- 计算模型与算法技术:6-Transform-and-Conquer.ppt
- 云服务安全风险分析研究.pdf
- 软件工程笔记(完整版).doc
- 电子商务网项目实例规划书.doc
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功
评论2