tcpdump抓包分析详解

tcpdump抓包分析详解

ID:42770357

大小:50.00 KB

页数:6页

时间:2019-09-22

tcpdump抓包分析详解_第1页
tcpdump抓包分析详解_第2页
tcpdump抓包分析详解_第3页
tcpdump抓包分析详解_第4页
tcpdump抓包分析详解_第5页
资源描述:

《tcpdump抓包分析详解》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、tcpdump抓包分析详解[root@linux~]#tcpdump[-nn][-i接口][-w储存档名][-c次数][-Ae][-qX][-r档案][所欲撷取的数据内容]参数:-nn:直接以IP及portnumber显示,而非主机名与服务名称-i:后面接要『监听』的网络接口,例如eth0,lo,ppp0等等的界面;-w:如果你要将监听所得的封包数据储存下来,用这个参数就对了!后面接档名-c:监听的封包数,如果没有这个参数,tcpdump会持续不断的监听,直到使用者输入[ctrl]-c为止。-A:封包的内容以ASCII显示,通常用来捉取WWW的网页封包资料。-e:使用资料连

2、接层(OSI第二层)的MAC封包数据来显示;-q:仅列出较为简短的封包信息,每一行的内容比较精简-X:可以列出十六进制(hex)以及ASCII的封包内容,对于监听封包内容很有用-r:从后面接的档案将封包数据读出来。那个『档案』是已经存在的档案,并且这个『档案』是由-w所制作出来的。所欲撷取的数据内容:我们可以专门针对某些通讯协议或者是IP来源进行封包撷取,那就可以简化输出的结果,并取得最有用的信息。常见的表示方法有:'hostfoo','host127.0.0.1':针对单部主机来进行封包撷取'net192.168':针对某个网域来进行封包的撷取;'srchost127.0

3、.0.1''dstnet192.168':同时加上来源(src)或目标(dst)限制'tcpport21':还可以针对通讯协议侦测,如tcp,udp,arp,ether等还可以利用and与or来进行封包数据的整合显示呢!范例一:以IP与portnumber捉下eth0这个网络卡上的封包,持续3秒[root@linux~]#tcpdump-ieth0-nntcpdump:verboseoutputsuppressed,use-vor-vvforfullprotocoldecodelisteningoneth0,link-typeEN10MB(Ethernet),capture

4、size96bytes01:33:40.41IP192.168.1.100.22>192.168.1.11.1190:P116:232(116)ack1win964801:33:40.41IP192.168.1.100.22>192.168.1.11.1190:P232:364(132)ack1win9648<==按下[ctrl]-c之后结束6680packetscaptured<==捉下来的封包数量14250packetsreceivedbyfilter<==由过滤所得的总封包数量7512packetsdroppedbykernel<==被核心所丢弃的封包如果你是第一次看

5、tcpdump的manpage时,肯定一个头两个大,因为tcpdump几乎都是分析封包的表头数据,用户如果没有简易的网络封包基础,要看懂粉难吶!所以,至少您得要回到网络基础里面去将TCP封包的表头数据理解理解才好啊!^_^!至于那个范例一所产生的输出范例中,我们可以约略区分为数个字段,我们以范例一当中那个特殊字体行来说明一下:01:33:40.41:这个是此封包被撷取的时间,『时:分:秒』的单位;IP:透过的通讯协议是IP;192.168.1.100.22>:传送端是192.168.1.100这个IP,而传送的portnumber为22,您必须要了解的是,那个大于(>)的符

6、号指的是封包的传输方向喔!192.168.1.11.1190:接收端的IP是192.168.1.11,且该主机开启port1190来接收;P116:232(116):这个封包带有PUSH的数据传输标志,且传输的数据为整体数据的116~232byte,所以这个封包带有116bytes的数据量;ack1win9648:ACK与Windowsize的相关资料。最简单的说法,就是该封包是由192.168.1.100传到192.168.1.11,透过的port是由22到1190,且带有116bytes的数据量,使用的是PUSH的旗标,而不是SYN之类的主动联机标志。呵呵!不容易看的懂

7、吧!所以说,上头才讲请务必到TCP表头数据的部分去瞧一瞧的啊!再来,一个网络状态很忙的主机上面,你想要取得某部主机对你联机的封包数据而已时,使用tcpdump配合管线命令与正规表示法也可以,不过,毕竟不好捉取!我们可以透过tcpdump的表示法功能,就能够轻易的将所需要的数据独立的取出来。在上面的范例一当中,我们仅针对eth0做监听,所以整个eth0接口上面的数据都会被显示到屏幕上,不好分析啊!那么我们可以简化吗?例如只取出port21的联机封包,可以这样做:[root@linux~]#tcpdump-ieth0-

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。