tcpdump参数详解.docx

资源描述

tcpdump参数详解.docx

《tcpdump参数详解.docx》由会员分享，可在线阅读，更多相关《tcpdump参数详解.docx（27页珍藏版）》请在冰豆网上搜索。

tcpdump参数详解.docx

tcpdump参数详解

tcpdump主要进行数据包捕获，设置合适的参数能够减少捕获的数据包量，更有利于我们进行数据分析。

数据过滤

　　不带任何参数的TcpDump将搜索系统中所有的网络接口，并显示它截获的所有数据，这些数据对我们不一定全都需要，而且数据太多不利于分析。

所以，我们应当先想好需要哪些数据，TcpDump提供以下参数供我们选择数据：

　　-b在数据-链路层上选择协议，包括ip、arp、rarp、ipx都是这一层的。

　　例如：

tcpdump-barp将只显示网络中的arp即地址转换协议信息。

　　-i选择过滤的网络接口，如果是作为路由器至少有两个网络接口，通过这个选项，就可以只过滤指定的接口上通过的数据。

例如：

　　tcpdump-ieth0只显示通过eth0接口上的所有报头。

　　src、dst、port、host、net、ether、gateway这几个选项又分别包含src、dst、port、host、net、ehost等附加选项。

他们用来分辨数据包的来源和去向，srchost192.168.0.1指定源主机IP地址是192.168.0.1，dstnet192.168.0.0/24指定目标是网络192.168.0.0。

以此类推，host是与其指定主机相关无论它是源还是目的，net是与其指定网络相关的，ether后面跟的不是IP地址而是物理地址，而gateway则用于网关主机。

可能有点复杂，看下面例子就知道了：

　　tcpdumpsrchost192.168.0.1anddstnet192.168.0.0/24

　　过滤的是源主机为192.168.0.1与目的网络为192.168.0.0的报头。

　　tcpdumpethersrc00:

50:

04:

BA:

9Banddst……

　　过滤源主机物理地址为XXX的报头（为什么ethersrc后面没有host或者net？

物理地址当然不可能有网络喽）。

　　Tcpdumpsrchost192.168.0.1anddstportnottelnet

　　过滤源主机192.168.0.1和目的端口不是telnet的报头。

　　ipicmparprarp和tcp、udp、icmp这些选项等都要放到第一个参数的位置，用来过滤数据报的类型。

　　例如：

　　tcpdumpipsrc……

　　只过滤数据-链路层上的IP报头。

　　tcpdumpudpandsrchost192.168.0.1

　　只过滤源主机192.168.0.1的所有udp报头。

　　数据显示/输入输出

　　TcpDump提供了足够的参数来让我们选择如何处理得到的数据，如下所示：

　　-l可以将数据重定向。

　　如tcpdump-l＞tcpcap.txt将得到的数据存入tcpcap.txt文件中。

　　-n不进行IP地址到主机名的转换。

　　如果不使用这一项，当系统中存在某一主机的主机名时，TcpDump会把IP地址转换为主机名显示，就像这样：

eth0＜ntc9.1165＞.telnet，使用-n后变成了：

eth0＜192.168.0.9.1165＞192.168.0.1.telnet。

　　-nn不进行端口名称的转换。

　　上面这条信息使用-nn后就变成了：

eth0＜ntc9.1165＞.23。

　　-N不打印出默认的域名。

　　还是这条信息-N后就是：

eth0＜ntc9.1165＞router.telnet。

　　-O不进行匹配代码的优化。

　　-t不打印UNIX时间戳，也就是不显示时间。

　　-tt打印原始的、未格式化过的时间。

　　-v详细的输出，也就比普通的多了个TTL和服务类型

TCPDUMP的使用方法

tcpdump采用命令行方式，它的命令格式为：

　　tcpdump[-adeflnNOpqStvx][-c数量][-F文件名]

　　　　　　　　　　[-i网络接口][-r文件名][-ssnaplen]

　　　　　　　　　　[-T类型][-w文件名][表达式]

　　1.tcpdump的选项介绍

　　　-a　　　将网络地址和广播地址转变成名字；

　　　-d　　　将匹配信息包的代码以人们能够理解的汇编格式给出；

　　　-dd　　　将匹配信息包的代码以c语言程序段的格式给出；

　　　-ddd　　　将匹配信息包的代码以十进制的形式给出；

　　　-e　　　在输出行打印出数据链路层的头部信息；

　　　-f　　　将外部的Internet地址以数字的形式打印出来；

　　　-l　　　使标准输出变为缓冲行形式；

　　　-n　　　不把网络地址转换成名字；

　　　-t　　　在输出的每一行不打印时间戳；

　　　-v　　　输出一个稍微详细的信息，例如在ip包中可以包括ttl和服务类型的信息；

　　　-vv　　　输出详细的报文信息；

　　　-c　　　在收到指定的包的数目后，tcpdump就会停止；

　　　-F　　　从指定的文件中读取表达式,忽略其它的表达式；

　　　-i　　　指定监听的网络接口；

　　　-r　　　从指定的文件中读取包（这些包一般通过-w选项产生）；

　　　-w　　　直接将包写入文件中，并不分析和打印出来；

　　　-T　　　将监听到的包直接解释为指定的类型的报文，常见的类型有rpc（远程过程调用）和snmp（简单　　　　　　　网络管理协议；）

　　2.tcpdump的表达式介绍

　　　表达式是一个正则表达式，tcpdump利用它作为过滤报文的条件，如果一个报文满足表达式的条件，则这个报文将会被捕获。

如果没有给出任何条件，则网络上所有的信息包将会被截获。

　　　在表达式中一般如下几种类型的关键词，一种是关于类型的关键词，主要包括host，net，port,例如host210.27.48.2，指明210.27.48.2是一台主机，net202.0.0.0指明202.0.0.0是一个网络地址，port23指明端口号是23。

如果没有指定类型，缺省的类型是host.

　　　第二种是确定传输方向的关键词，主要包括src,dst,dstorsrc,dstandsrc,这些关键词指明了传输的方向。

举例说明，src210.27.48.2,指明ip包中源地址是210.27.48.2,dstnet202.0.0.0指明目的网络地址是202.0.0.0。

如果没有指明方向关键词，则缺省是srcordst关键词。

　　　第三种是协议的关键词，主要包括fddi,ip,arp,rarp,tcp,udp等类型。

Fddi指明是在FDDI（分布式光纤数据接口网络）上的特定的网络协议，实际上它是"ether"的别名，fddi和ether具有类似的源地址和目的地址，所以可以将fddi协议包当作ether的包进行处理和分析。

其他的几个关键词就是指明了监听的包的协议内容。

如果没有指定任何协议，则tcpdump将会监听所有协议的信息包。

　　　除了这三种类型的关键词之外，其他重要的关键词如下：

gateway,broadcast,less,greater,还有三种逻辑运算，取非运算是'not''!

',与运算是'and','&&';或运算是'or','||'；

　　　这些关键词可以组合起来构成强大的组合条件来满足人们的需要，下面举几个例子来说明。

（1）想要截获所有210.27.48.1的主机收到的和发出的所有的数据包：

　　　　#tcpdumphost210.27.48.1

（2）想要截获主机210.27.48.1和主机210.27.48.2或210.27.48.3的通信，使用命令：

（在命令行中适用括号时，一定要

　　　　#tcpdumphost210.27.48.1and\（210.27.48.2or210.27.48.3\）

　　　（3）如果想要获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包,使用命令：

　　　　#tcpdumpiphost210.27.48.1and!

210.27.48.2

　　　（4）如果想要获取主机210.27.48.1接收或发出的telnet包，使用如下命令：

　　　　#tcpdumptcpport23host210.27.48.1

　　3.tcpdump的输出结果介绍

　　　下面我们介绍几种典型的tcpdump命令的输出信息

（1）数据链路层头信息

　　　使用命令#tcpdump--ehostice

　　　ice是一台装有linux的主机，她的MAC地址是0：

90：

27：

58：

AF：

　　　H219是一台装有SOLARIC的SUN工作站，它的MAC地址是8：

0：

20：

79：

5B：

46；上一条命令的输出结果如下所示：

21:

50:

12.847509eth0<8:

20:

79:

5b:

460:

90:

27:

58:

af:

1aip60:

h219.33357>;ice.

telnet0:

0（0）ack22535win8760（DF）

　　分析：

21：

50：

12是显示的时间，847509是ID号，eth0<表示从网络接口eth0接受该数据包，eth0>;表示从网络接口设备发送数据包,8:

20:

79:

5b:

46是主机H219的MAC地址,它表明是从源地址H219发来的数据包.0:

90:

27:

58:

af:

1a是主机ICE的MAC地址,表示该数据包的

目的地址是ICE.ip是表明该数据包是IP数据包,60是数据包的长度,h219.33357>;ice.telnet表明该数据包是从主机H219的33357端口发往主机ICE的TELNET（23）端口.ack22535表明对序列号是222535的包进行响应.win8760表明发送窗口的大小是8760.

（2）ARP包的TCPDUMP输出信息

　　　使用命令#tcpdumparp

　　　得到的输出结果是：

　　22:

32:

42.802509eth0>;arpwho-hasroutetellice（0:

90:

27:

58:

af:

1a）

　　22:

32:

42.802902eth0

90:

27:

12:

10:

66（0:

90:

27:

58:

af:

1a）

　　分析:

22:

32:

42是时间戳,802509是ID号,eth0>;表明从主机发出该数据包,arp表明是ARP请求包,who-hasroutetellice表明是主机ICE请求主机ROUTE的MAC地址。

90:

27:

58:

af:

1a是主机ICE的MAC地址。

　　（3）TCP包的输出信息

　　　用TCPDUMP捕获的TCP包的一般输出信息是：

　　src>;dst:

flagsdata-seqnoackwindowurgentoptions

　　src>;dst:

表明从源地址到目的地址,flags是TCP包中的标志信息,S是SYN标志,F（FIN）,P（PUSH）,R（RST）"."（没有标记）;data-seqno是数据包中的数据的顺序号,ack是下次期望的顺序号,window是接收缓存的窗口大小,urgent表明数据包中是否有紧急指针.Options是选项.

　　（4）UDP包的输出信息

　　　用TCPDUMP捕获的UDP包的一般输出信息是：

　　route.port1>;ice.port2:

udplenth

　　UDP十分简单，上面的输出行表明从主机ROUTE的port1端口发出的一个UDP数据包到主机

ICE的port2端口，类型是UDP，包的长度是lenth

Snoop参数详解

Snoop是Solaris系统中自带的工具，是一个用于显示网络通讯的程序，它可捕获IP包并将其显示或保存到指定文件.（限超级用户使用snoop）Snoop可将捕获的包以一行的形式加以总结或用多行加以详细的描述（有调用不同的参数-v-V来实现）.在总结方式下（-V）,将仅显示最高层的相关协议,例如一个NFS包将仅显示NFS信息,其低层的RPC,UDP,IP,Ethernet帧信息将不会显示,但是当加上相应的参数（-v）,这些信息都能被显示出来.

　　参数简介：

　　[-a]#Listentopacketsonaudio

　　[-ddevice]#settabletole,ie,bf,tr

　　[-ssnaplen]#Truncatepackets

　　[-ccount]#Quitaftercountpackets

　　[-P]#TurnOFFpromiscuousmode

　　[-D]#Reportdroppedpackets

　　[-S]#Reportpacketsize

　　[-ifile]#Readpreviouslycapturedpackets

　　[-ofile]#Capturepacketsinfile

　　[-nfile]#Loadaddr-to-nametablefromfile

　　[-N]#Createaddr-to-nametable

　　[-tr|a|d]#Time:

Relative,AbsoluteorDelta

　　[-v]#Verbosepacketdisplay

　　[-V]#Showallsummarylines

　　[-pfirst[,last]]#Selectpacket（s）todisplay

　　[-xoffset[,length]]#Hexdumpfromoffsetforlength

　　[-C]#Printpacketfiltercode

　　#snoophost1host2

　　host1->host2ICMPEchorequest

　　host2->host1ICMPEchoreply

　　#snoop-adhcp

　　#snoop监听所有以本机为源和目的的包并将其显示出来.

　　#snoopA监听所有以主机A为源和目的的包并将其显示出来.（A为主机名,下同）

　　#snoop-ofileAB监听所有A和B之间的包并将其保存到文件file.

　　查看主机A和主机B之间的NFS包（命令中的and和or为相应的逻辑运算）

　　#snoop-ifilerpcnfsandAandB

　　10.0000A->BNFSCGETATTRFH=8E6C

　　20.0046B->ANFSRGETATTROK

　　30.0080A->BNFSCRENAMEFH=8E6CMTra00192to.nfs08

　　#snoop-ifile-ofile2rpcnfsAB将这些符合条件的包保存到另一文件file2中

　　#snoopAandBand（tcporudp）andport80监听主机A和主机B间所有TCP80端口或UDP80端口的包

　　#snoopbroadcast监听所有的广播包

　　Usingdevice/dev/hme（promiscuousmode）

　　10.10.10.50->BROADCASTUDPD=177S=2541LEN=35

　　#snoop-vmulticast监听所有的多播包,并显示详细内容

　　#snoop|grep-iNTP监听所有的NTP协议包

　　Usingdevice/dev/hme（promiscuousmode）