90:
27:
12:
10:
66(0:
90:
27:
58:
af
:
1a)
分析:
22:
32:
42是时间戳,802509是ID号,eth0>表明从主机发出该数据包,arp表明是
ARP请求包,who-hasroutetellice表明是主机ICE请求主机ROUTE的MAC地址。
0:
90:
27:
5
8:
af:
1a是主机ICE的MAC地址。
(3)TCP包的输出信息
用TCPDUMP捕获的TCP包的一般输出信息是:
src>dst:
flagsdata-seqnoackwindowurgentoptions
src>dst:
表明从源地址到目的地址,flags是TCP包中的标志信息,S是SYN标志,F(F
IN),P(PUSH),R(RST)"."(没有标记);data-seqno是数据包中的数据的顺序号,ack是
下次期望的顺序号,window是接收缓存的窗口大小,urgent表明数据包中是否有紧急指针.
Options是选项.
(4)UDP包的输出信息
用TCPDUMP捕获的UDP包的一般输出信息是:
route.port1>ice.port2:
udplenth
UDP十分简单,上面的输出行表明从主机ROUTE的port1端口发出的一个UDP数据包到主机
ICE的port2端口,类型是UDP,包的长度是lenth
=====================================================
功能说明:
倾倒网络传输数据。
语 法:
tcpdump[-adeflnNOpqStvx][-c<数据包数目>][-dd][-ddd][-F<表达文件>][-i<网络界面>][-r<数据包文件>][-s<数据包大小>][-tt][-T<数据包类型>][-vv][-w<数据包文件>][输出数据栏位]
补充说明:
执行tcpdump指令可列出经过指定网络界面的数据包文件头,在Linux操作系统中,你必须是系统管理员。
参 数:
-a尝试将网络和广播地址转换成名称。
-c<数据包数目>收到指定的数据包数目后,就停止进行倾倒操作。
-d把编译过的数据包编码转换成可阅读的格式,并倾倒到标准输出。
-dd把编译过的数据包编码转换成C语言的格式,并倾倒到标准输出。
-ddd把编译过的数据包编码转换成十进制数字的格式,并倾倒到标准输出。
-e在每列倾倒资料上显示连接层级的文件头。
-f用数字显示网际网络地址。
-F<表达文件>指定内含表达方式的文件。
-i<网络界面>使用指定的网络截面送出数据包。
-l使用标准输出列的缓冲区。
-n不把主机的网络地址转换成名字。
-N不列出域名。
-O不将数据包编码最佳化。
-p不让网络界面进入混杂模式。
-q快速输出,仅列出少数的传输协议信息。
-r<数据包文件>从指定的文件读取数据包数据。
-s<数据包大小>设置每个数据包的大小。
-S用绝对而非相对数值列出TCP关联数。
-t在每列倾倒资料上不显示时间戳记。
-tt在每列倾倒资料上显示未经格式化的时间戳记。
-T<数据包类型>强制将表达方式所指定的数据包转译成设置的数据包类型。
-v详细显示指令执行过程。
-vv更详细显示指令执行过程。
-x用十六进制字码列出数据包资料。
-w<数据包文件>把数据包数据写入指定的文件。
====================================================
超级无敌的TcpDump
作者:
admin日期:
2006-08-13
字体大小:
小中大
来源于网路作者不明
网络数据采集分析工具TcpDump的简介
顾名思义,TcpDump可以将网络中传送的数据包的“头”完全截获下来提供分析。
它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。
tcpdump就是一种免费的网络分析工具,尤其其提供了源代码,公开了接口,因此具备很强的可扩展性,对于网络维护和入侵者都是非常有用的工具。
tcpdump存在于基本的FreeBSD系统中,由于它需要将网络界面设置为混杂模式,普通用户不能正常执行,但具备root权限的用户可以直接执行它来获取网络上的信息。
因此系统中存在网络分析工具主要不是对本机安全的威胁,而是对网络上的其他计算机的安全存在威胁。
我们用尽量简单的话来定义tcpdump,就是:
dumpthetrafficeonanetwork.,根据使用者的定义对网络上的数据包进行截获的包分析工具。
作为互联网上经典的的系统管理员必备工具,tcpdump以其强大的功能,灵活的截取策略,成为每个高级的系统管理员分析网络,排查问题等所必备的东西之一。
第一种是关于类型的关键字,主要包括host,net,port,例如host210.27.48.2,指明210.27.48.2是一台主机,net202.0.0.0指明202.0.0.0是一个网络地址,port23指明端口号是23。
如果没有指定类型,缺省的类型是host.
第二种是确定传输方向的关键字,主要包括src,dst,dstorsrc,dstandsrc,这些关键字指明了传输的方向。
举例说明,src210.27.48.2,指明ip包中源地址是210.27.48.2,dstnet202.0.0.0指明目的网络地址是202.0.0.0。
如果没有指明方向关键字,则缺省是srcordst关键字。
第三种是协议的关键字,主要包括fddi,ip,arp,rarp,tcp,udp等类型。
Fddi指明是在FDDI(分布式光纤数据接口网络)上的特定的网络协议,实际上它是"ether"的别名,fddi和ether具有类似的源地址和目的地址,所以可以将fddi协议包当作ether的包进行处理和分析。
其他的几个关键字就是指明了监听的包的协议内容。
如果没有指定任何协议,则tcpdump将会监听所有协议的信息包。
除了这三种类型的关键字之外,其他重要的关键字如下:
gateway,broadcast,less,greater,还有三种逻辑运算,取非运算是'not''!
',与运算是'and','&&';或运算是'or','││';这些关键字可以组合起来构成强大的组合条件来满足人们的需要,下面举几个例子来说明。
普通情况下,直接启动tcpdump将监视第一个网络界面上所有流过的数据包。
#tcpdump
tcpdump:
listeningonfxp0
11:
58:
47.873028bios-ns>bios-ns:
udp50
11:
58:
47.9743310:
10:
7b:
8:
3a:
56>1:
80:
c2:
0:
0:
0802.1dui/Clen=43
00000000008000001007cf0809000000
0e800000902b46950980870100140002
000f0000902b4695000800
11:
58:
48.3731340:
0:
e8:
5b:
6d:
85>Broadcastsape0ui/Clen=97
ffff00600004ffffffffffffffffffff
0452ffffffff0000e85b6d8540080002
06404d41535445525f57454200000000
000000
使用-i参数指定tcpdump监听的网络界面,这在计算机具有多个网络界面时非常有用,
使用-c参数指定要监听的数据包数量,
使用-w参数指定将监听到的数据包写入文件中保存
A想要截获所有210.27.48.1的主机收到的和发出的所有的数据包:
#tcpdumphost210.27.48.1
B想要截获主机210.27.48.1和主机210.27.48.2或210.27.48.3的通信,使用命令:
(在命令行中适用 括号时,一定要
#tcpdumphost210.27.48.1and\(210.27.48.2or210.27.48.3\)
C如果想要获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包,使用命令:
#tcpdumpiphost210.27.48.1and!
210.27.48.2
D如果想要获取主机210.27.48.1接收或发出的telnet包,使用如下命令:
#tcpdumptcpport23host210.27.48.1
E对本机的udp123端口进行监视123为ntp的服务端口
#tcpdumpudpport123
F系统将只对名为hostname的主机的通信数据包进行监视。
主机名可以是本地主机,也可以是网络上的任何一台计算机。
下面的命令可以读取主机hostname发送的所有数据:
#tcpdump-ieth0srchosthostname
G下面的命令可以监视所有送到主机hostname的数据包:
#tcpdump-ieth0dsthosthostname
H我们还可以监视通过指定网关的数据包:
#tcpdump-ieth0gatewayGatewayname
I如果你还想监视编址到指定端口的TCP或UDP数据包,那么执行以下命令:
#tcpdump-ieth0hosthostnameandport80
J如果想要获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包
,使用命令:
#tcpdumpiphost210.27.48.1and!
210.27.48.2
K想要截获主机210.27.48.1和主机210.27.48.2或210.27.48.3的通信,使用命令
:
(在命令行中适用 括号时,一定要
#tcpdumphost210.27.48.1and\(210.27.48.2or210.27.48.3\)
L如果想要获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包,使用命令:
#tcpdumpiphost210.27.48.1and!
210.27.48.2
M如果想要获取主机210.27.48.1接收或发出的telnet包,使用如下命令:
#tcpdumptcpport23host210.27.48.1
第三种是协议的关键字,主要包括fddi,ip,arp,rarp,tcp,udp等类型
除了这三种类型的关键字之外,其他重要的关键字如下:
gateway,broadcast,less,
greater,还有三种逻辑运算,取非运算是'not''!
',与运算是'and','&&';或运算是'o
r','||';
第二种是确定传输方向的关键字,主要包括src,dst,dstorsrc,dstandsrc,
如果我们只需要列出送到80端口的数据包,用dstport;如果我们只希望看到返回80端口的数据包,用srcport。
#tcpdump–ieth0hosthostnameanddstport80目的端口是80
或者
#tcpdump–ieth0hosthostnameandsrcport80源端口是80一般是提供http的服务的主机
如果条件很多的话要在条件之前加and或or或not
#tcpdump-ieth0host!
211.161.223.70and!
211.161.223.71anddstport80
如果在ethernet使用混杂模式系统的日志将会记录
May720:
03:
46localhostkernel:
eth0:
Promiscuousmodeenabled.
May720:
03:
46localhostkernel:
deviceeth0enteredpromiscuousmode
May720:
03:
57localhostkernel:
deviceeth0leftpromiscuousmode
tcpdump对截获的数据并没有进行彻底解码,数据包内的大部分内容是使用十六进制的形式直接打印输出的。
显然这不利于分析网络故障,通常的解决办法是先使用带-w参数的tcpdump截获数据并保存到文件中,然后再使用其他程序进行解码分析。
当然也应该定义过滤规则,以避免捕获的数据包填满整个硬盘。