Linux网络协议分析工具tcpdump和tshark用法

Linux网络协议分析工具tcpdump和tshark用法

ID:47105423

大小:22.81 KB

页数:12页

时间:2019-08-04

Linux网络协议分析工具tcpdump和tshark用法_第1页
Linux网络协议分析工具tcpdump和tshark用法_第2页
Linux网络协议分析工具tcpdump和tshark用法_第3页
Linux网络协议分析工具tcpdump和tshark用法_第4页
Linux网络协议分析工具tcpdump和tshark用法_第5页
资源描述:

《Linux网络协议分析工具tcpdump和tshark用法》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、Linux网络协议分析工具tcpdump和tshark用法Tcpdump是网络协议分析的基本工具。tshark是大名鼎鼎的开源网络协议分析工具wireshark(原名叫ethereal)的命令行版本,wireshark可对多达千余种网络协议进行解码分析。Wireshark和tcpdump均使用libpcap库(参见libpcap编程教程)进行网络截包。TCPDUMP详细manpage参见tcpdump网站。基本用法Tcpdump的参数基本分为两块:选项(options)和过滤器表达式(filter_expression)

2、Tcpdump是网络协议分析的基本工具。tshark是大名鼎鼎的开源网络协议分析wireshark(原名叫ethereal)的命令行版本,wireshark可对多达千余种网络协议进行解码分析。Wireshark和tcpdump均使用libpcap库(参见libpcap编程教程)进行网络截包。TCPDUMP详细manpage参见tcpdump网站。基本用法 Tcpdump的参数基本分为两块:选项(options)和过滤器表达式(filter_expression)。#tcpdump[options][filter_expr

3、ession]例如#tcpdump-c100-ieth0-wlogtcpdstport50000其中options部分参数:-c100指定截取的包的数量-ieth0指定监听哪个网络端口-wlog输出到名为log的文件中(libpcap格式)filter_expression参数为tcpdstport50000,即只监听目标端口为50000的tcp包。更多的例子:/*监视目标地址为除内网地址(192.168.3.1-192.168.3.254)之外的流量*/#tcpdumpdstnetnot192.168.3.0/24 /

4、*监视除HTTP浏览(端口80/8080)、SSH(22)、POP3(110)之外的流量,注意在括号(之前添加转义符,-n和-nn的解释见随后*/# tcpdump-n-nnportnot(wwwor22or110)或#tcpdump-n-nnport!(wwwor22or110)/*监视源主机MAC地址为00:50:04:BA:9B的包*/#tcpdumpethersrc00:50:04:BA:9B/* 监视源主机为192.168.0.1并且目的端口不是telnet的包*/#tcpdumpsrchost192

5、.168.0.1anddstportnottelnet ipicmparprarp和tcp、udp、icmp这些选项等都要放到第一个参数的位置,用来过滤数据报的类型。例如:#tcpdumpipsrc……//只过滤数据-链路层上的IP报头#tcpdumpudpandsrchost192.168.0.1//只过滤源主机192.168.0.1的所有udp报头TcpDump提供了很多options参数来让我们选择如何处理得到的数据,如下所示: -l将数据重定向。如tcpdump-l>tcpcap.txt将得到的数据存入tcpca

6、p.txt文件中。 -n不进行IP地址到主机名的转换。如果不使用这一项,当系统中存在某一主机的主机名时,TcpDump会把IP地址转换为主机名显示,就像这样:eth0<ntc9.1165>router.domain.net.telnet,使用-n后变成了:eth0<192.168.0.9.1165>192.168.0.1.telnet。 -nn不进行端口名称的转换。上面这条信息使用-nn后就变成了:eth0<ntc9.1165>router.domain.net.23。 -N不打印出默认的域名。还是这条信息-N后就是:e

7、th0<ntc9.1165>router.telnet。-O不进行匹配代码的优化。 -t不打印UNIX时间戳,也就是不显示时间。 -tt打印原始的、未格式化过的时间。 -v详细的输出,也就比普通的多了个TTL和服务类型。参数详解tcpdump采用命令行方式,它的命令格式为:tcpdump[-adeflnNOpqStvx][-c数量][-F文件名][-i网络接口][-r文件名][-ssnaplen][-T类型][-w文件名][表达式]-a   将网络地址和广播地址转变成名字;-d   将匹配信息包的代码以人们能够理解的汇编

8、格式给出;-dd  将匹配信息包的代码以c语言程序段的格式给出;-ddd  将匹配信息包的代码以十进制的形式给出;-e   在输出行打印出数据链路层的头部信息;-f   将外部的Internet地址以数字的形式打印出来;-l   使标准输出变为缓冲行形式;-n   不把网络地址转换成名字;-t   在输出的每一行不打

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。