当前位置: 澳门新濠3559 > 数据库 > 正文

endian作为网络字节序,大多数的类Unix系统操作系

时间:2019-11-09 00:17来源:数据库
  TCP互连网流量重播工具tcpreplay使用表达 tcpdump是个有力的网络分析工具,有大多细密的家有家规能够定义。 tcpdump介绍 原文: tcpdump 是多个周转在指令行下的抓包工具。它同意客商拦

 

TCP互连网流量重播工具tcpreplay使用表达

tcpdump是个有力的网络分析工具,有大多细密的家有家规能够定义。

tcpdump介绍

原文:

tcpdump 是多个周转在指令行下的抓包工具。它同意客商拦截和出示发送或收到过网络连接到该Computer的TCP/IP和任何数据包。tcpdump 适用于

大部的类Unix系统操作系统(如linux,BSD等)。类Unix系统的 tcpdump 须要运用libpcap这几个捕捉数据的库就如 windows下的WinPcap。

在求学tcpdump前最棒对大旨网络的网络文化有自然的认知。

tcpdump命令格式及常用参数

Tcpdump的大约情势如下:

例:tcpdump –i eth0 ’port 1111‘ -X -c 3

-X告诉tcpdump命令,供给把协商头和包内容都通首至尾的展现出来(tcpdump会以16进制和ASCII的花样显得卡塔 尔(阿拉伯语:قطر‎,那在张开商量解析时是纯属的利器。

 

tcpdump接收命令行方式,它的命令格式为:

  tcpdump [ -adeflnNOpqStvx ] [ -c 数量 ] [ -F 文件名 ]

          [ -i 互连网接口 ] [ -r 文件名] [ -s snaplen ]

                                       [ -T 类型 ] [ -w 文件名 ] [表达式 ]

 tcpdump的取舍介绍

   -a    将互联网地址和广播地址转换成名字;

   -d    将特别新闻包的代码以大家能够知情的汇编格式给出;

   -dd    将相配音信包的代码以c语言程序段的格式给出;

   -ddd    将相配新闻包的代码以十进制的样式提交;

   -e    在输骑行打字与印刷出多少链路层的底部音信,包涵源mac和指标mac,以至互联网层的合计;

   -f    将表面包车型客车Internet地址以数字的款型打字与印刷出来;

   -l    使规范输出变为缓冲行方式;

   -n    内定将种种监听到数码包中的域名转变到IP地址后出示,不把互连网地址变换到名字;

     -nn:    内定将种种监听到的多寡包中的域名调换到IP、端口从利用名称转变到端口号后彰显

   -t    在出口的每大器晚成行不打字与印刷时间戳;

   -v    输出多少个微微详细的消息,举个例子在ip包中能够包括ttl和服务类型的新闻;

   -vv    输出详细的报文消息;

   -c    在摄取钦定的包的数目后,tcpdump就能够停下;

   -F    从钦命的文书中读取表明式,忽视别的的表明式;

endian作为网络字节序,大多数的类Unix系统操作系统(如linux。   -i    钦命监听的互连网接口;

      -p:    将网卡设置为非混杂格局,不能够与host或broadcast一同使用

   -r    从钦命的文件中读取包(那个包日常经过-w选项发生);

   -w    直接将包写入文件中,并不深入分析和打字与印刷出来;

            -s snaplen         snaplen代表从叁个包中截取的字节数。0代表包不截断,抓全体的数据包。暗中认可的话 tcpdump 只突显部分数据包,暗中同意68字节。

   -T    将监听到的包直接表达为钦定的等级次序的报文,清汤寡水的档期的顺序有rpc (远程进度调用卡塔 尔(英语:State of Qatar)和snmp(简单网络处理左券;卡塔尔国

          -X            告诉tcpdump命令,供给把合同头和包内容都原原本本的来得出来(tcpdump会以16进制和ASCII的样式体现卡塔 尔(阿拉伯语:قطر‎,那在实行商酌解析时是绝对的利器。

 

------------------------------------------------

1、抓取回环网口的包:tcpdump -i lo

2、防止包截断:tcpdump -s0

3、以数显主机及端口:tcpdump -n

         如键入命令: tcpdump –i eth0 ‘port 1111’ -X -c 3

 

         图片 1

-i 是interface的意义,是指我们有职责告知tcpdump希望他去监听哪三个网卡,

-X告诉tcpdump命令,须求把合同头和包内容都原原本本的来得出来(tcpdump会以16进制和ASCII的样式展示卡塔 尔(英语:State of Qatar),那在进展协商解析时是纯属的利器。

port 1111大家只关切源端口或目标端口是1111的数据包.

-c 是Count的含义,那设置了大家期望tcpdump帮大家抓多少个包。

在那之中还或许有其余一个比较关键的参数– l  使得出口变为行缓冲

-l选项的功能就是将tcpdump的输出变为“行缓冲”方式,那样能够确保tcpdump遇到的从头到尾的经过借使是换行符将在缓冲的从头到尾的经过输出到正式输出,以便于选拔管道

或重定向格局来进行一而再三回九转管理。

Linux/UNIX的规范I/O提供了全缓冲、行缓冲和无缓冲三种缓冲形式。

正式错误是不带缓冲的,终端设备常为行缓冲,而其他情状私下认可都以全缓冲的。

 

比如大家只想提取包的每风度翩翩行的第一个域(时间域),这种情况下大家就须要-l将默许的全缓冲变为行缓冲了。

tcpdump -i eth0 port 1111 -l | awk '{print $1}'

         图片 2

参数–w  -r

-w 直接将包写入文件中(即原始包,假使选择 重定向 > 则只是保存突显的结果,实际不是村生泊长文本),即所谓的“流量保存”---就是把抓到的网络包能存款和储蓄到磁盘上,

保留下来,为后续使用。参数-r 到达“流量回看”---正是把历史上的某不经常间段的流量,重新模拟重放出来,用于流量剖析。

        图片 3

因此-w选项将流量都存款和储蓄在cp.pcap(二进制格式)文件中了.能够经过 –r 读取raw packets文件 cp.pcap. 

如:sudo tcpdump i- eth0 'port 1111' -c 3 -r cp.pcap 就能够开展流量重播。

问:流量回看又有何用?

 

MySQL Client/Server协议

正确的说应该是MySQL Client/Server协议,另一个叫X Protocol的暂不涉及。地址如下:MySQL Client/Server Protocol

 

1. 什么是tcpreplay

引用风流罗曼蒂克段tcpreplay官网的话来分解如何是tcpreplay:

Tcpreplay is a suite of BSD licensed tools written by Aaron Turner for UNIX (and Win32 under Cygwin) operating systems which gives you the ability to use previously captured traffic in libpcap format to test a variety of network devices. It allows you to classify traffic as client or server, rewrite Layer 2, 3 and 4 headers and finally replay the traffic back onto the network and through other devices such as switches, routers, firewalls, NIDS and IPS's.Tcpreplay supports both single and dual NIC modes for testing both sniffing and inline devices.

一句话来说, tcpreplay是少年老成种pcap包的重播工具, 它能够将用ethreal, wireshark工具抓下来的包原样或透过大肆校正后重放回去. 它同意你对报文做任性的改造(首借使指对2层, 3层, 4层报文头), 内定重播报文的快慢等, 那样tcpreplay就能够用来复现抓包的面貌以平昔bug, 以非常快的速度重播进而达成压力测量试验.

输入tcpreplay -H一声令下获得如下表达

The basic operation of tcpreplay is to resend all packets from the input file(s) at the speed at which they were recorded, or a specified data rate, up to as fast as the hardware is capable.

tcpreplay命令

图片 4

tcpreplay命令

tcpreplay本人包含了多少个协理理工程师具, 用于筹算发包的cache, 重写报文等:

  • tcpprep - 一言以蔽之就是分开哪些包是client的, 哪些是server的, 一会发包的时候client的包从二个网卡发, server的包只怕从另三个网卡发

  • tcprewrite - 简单的说便是改进2层, 3层, 4层报文底部

  • tcpreplay - 真正发包, 能够选择主、从网卡, 发包速度等

  • *tcpbridge - 利用tcprewrite的效应实现多少个互联网部分的桥接*

 参考:

tcpdump的输出结果介绍

 键入命令:sudo tcpdump -i eth0 -e -nn -X -c 2 'port1111' 所缴获包内容如下:

   -n    不把互连网地址转变到名字;

 

 sudo tcpdump -i eth0 -e -nn -X -c 2 'port1111' 

        图片 5

 

第一行:“tcpdump: verbose output suppressed, use -v or -vv for fullprotocol decode”

唤醒使用选拔-v和-vv,能够观望更全的出口内容。

第二行“listening on eth0, link-type EN10MB (Ethernet), capture size 65535bytes”

大家监听的是经过eth0这些NIC设备的网络包,且它的链路层是根据以太网的,要抓的包大小节制是65535字节。包大小约束值能够通过-s选项来安装。

第三行”12:40:33.569037 00:19:e0:b5:10:94 > 00:1a:a0:31:39:d4, ethertypeIPv4 (0x0800),”

12:40:33.569037 分头对应着那些包被抓到的“时”、“分”、“秒”、“微妙”。

00:19:e0:b5:10:94 > 00:1a:a0:31:39:d4 表示MAC地址00:19:e0:b5:10:94发送到MAC地址为00:1a:a0:31:39:d4的主机,ethertype IPv4 (0x0800)表示

Ethernet帧的说道项目为ipv4(即代码为0x0800)。

第四行”length 66: 210.45.123.249.27236 > 172.16.0.11.1111: Flags [S],seq 1624463808,

length 66意味着以太帧长度为66。 210.45.123.249.27236意味着这么些包的源IP为210.45.123.249,源端口为27236,’>’表示数据包的传输方向, 172.16.0.11.1111,

表示这一个数据包的指标端ip为172.16.0.11,指标端口为1111,1111端口是自己的一个web服务器监听端口。Flags是[S],注解是syn创设连接包(即叁回握手的首先次

拉手),seq1624463808 序号为1624463808,那一个实际就是TCP一遍握手的首先次握手:client(210.45.123.249)发送syn央求建构连接包。

第五行” win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0”

win 8192 表示窗口大小为8192字节。options[mss 1460,nop,wscale 2,nop,nop,sackOK]为tcp首部可选字段mss 1460意味着mss是发送端(客户端卡塔尔文告的最大

报文段长度,发送端将不吸取当先这一个长度的TCP报文段(这么些值和MTU有自然关系)。nop是贰个空操作选项, wscale提出发送端应用的窗口扩展因子为2, sackOK

代表发送端帮衬并允许接受SACK选。

上面几行分别是IP,TCP首部 ,这里不再敷述。

 

字节序

诚如公约里说的字节序是指互连网字节序,互联网字节序是big endian。而MySQL左券把主机字节序传输到互连网上,使用little endian作为网络字节序,那一点需求小心一下。关于字节序能够参照他事他说加以考察:通晓字节序

 

1.2 利用tcpreplay直接发包

tcpreplay -i p5p1 -M 3000 -K --preload-pcap -l 0 GD_SanFang_GET_FIFO_0150*

命令格式:tcpdump [-nn] [-i 接口] [-w 积攒档名] [-c 次数] [-Ae][-qX]

tcpdump过滤语句介绍

能够给tcpdump传送“过滤表明式”来起到互连网包过滤的法力,并且能够扶植传入单个或多少个过滤表明式。

能够透过命令 man pcap-filter 来参谋过滤表明式的接济文书档案

过滤表明式大要能够分为三种过滤条件,“类型”、“方向”和“左券”,这二种标准的烘托组合就结成了大家的过滤表明式。

关于项指标机要字,首要回顾host,net,port, 比方 host 210.45.114.211,内定主机 210.45.114.211,net 210.11.0.0 指明210.11.0.0是一个网络地址,port 21 指明

端口号是21。若无一点点名项目,缺省的体系是host.

至于传输方向的重要字,首要满含src , dst ,dst or src, dst and src ,

这一个重要字指明了传输的倾向。譬喻表明,src 210.45.114.211 ,指明ip包中源地址是210.45.114.211, dst net 210.11.0.0 指解表的网络地址是210.11.0.0  。如果未有指明

大势着重字,则缺省是srcor dst关键字。

关于公约的显要字,重要满含 ether,ip,ip6,arp,rarp,tcp,udp等项目。那多少个的包的商业事务内容。若无一点名其他切磋,则tcpdump将会监听全体合同的

信息包。

如笔者辈只想抓tcp的包命令为: sudo tcpdump -i eth0  -nn -c1 'tcp'

      图片 6

除开那二种等级次序的严重性字之外,别的首要的非常重要字如下:

gateway, broadcast,less,greater,还应该有二种逻辑运算,取非运算是 'not ' '! ', 与运算是'and','&&';或运算是'or' ,'||';

能够利用那些根本字打开重新整合,进而构成为比较强硬的过滤条件。下边比如表明

(1)只想查指标机器端口是21或80的互连网包,其余端口的作者不珍重:

  sudo tcpdump -i eth0 -c 10 'dst port 21 or dst port 80'

(2) 想要截获主机172.16.0.11 和主机210.45.123.249或 210.45.123.248的通讯,使用命令(注意括号的行使):

  sudo tcpdump -i eth0 -c 3 'host 172.16.0.11 and (210.45.123.249 or210.45.123.248)'

(3)想博得使用ftp端口和ftp数据端口的互联网包

   sudo tcpdump 'port ftp or ftp-data'

   这里 ftp、ftp-data到底对应哪个端口? linux系统下 /etc/services这么些文件之中,就存款和储蓄着具备盛名服务和传输层端口的应和关系。假使您一直把/etc/services里

   的ftp对应的端口值从21改为了3333,那么tcpdump就能去抓端口含有3333的网络包了。

(4) 即便想要获取主机172.16.0.11除了和主机210.45.123.249之外全部主机通讯的ip包,使用命令:

 sudo tcpdump ip ‘host 172.16.0.11 and ! 210.45.123.249’

(5) 抓172.16.0.11的80端口和110和25以外的别的端口的包

sudo tcpdump -i eth0 ‘host 172.16.0.11 and! port 80 and ! port 25 and ! port 110’

 

上面介绍部分tcpdump中过滤语句相比高等的用法

想博得172.16.10.11和google.com之间确立TCP叁次握手中带有SYN标志位的网络包.

命令为:sudo tcpdump -i eth0 'host 172.16.0.11 andhost google.com and tcp[tcpflags]&tcp-syn!=0' -c 3 -nn

图片 7

 

上边的命令是或不是望着有一点晕的痛感。    是的。

下边详细介相关知识。

实在大家知道这种语法:  proto [ expr : size] ,就轻巧精通上面的语句了。

上边详细介绍proto [ expr : size]

Proto即protocol的缩写,它表示这里要钦定的是某种公约名称,如ip,tcp,udp等。一句话来讲能够钦赐的合计有十三种,如链路层合同ether,fddi,tr,wlan,ppp,slip,link,

互联网层左券ip,ip6,arp,rarp,icmp传输层左券tcp,udp等。

expr用来钦点数量报字节单位的偏移量,该偏移量相对于钦命的协议层,私下认可的前奏地点是0;而size表示从偏移量的岗位上马提取多少个字节,能够设置为

1、2、4,默以为1字节。假如只设置了expr,而还未有安装size,则暗中认可提取1个字节。比如ip[2:2],就表示提抽取第3、4个字节;而ip[0]则意味着提取ip左券头的

第贰个字节。在大家领到了一定内容之后,我们就必要安装大家的过滤条件了,大家可用的“比较操作符”包含:>,<,>=,<=,=,!=,总共有6个。

比喻:想截取每一个TCP会话的苗子和截至报文(SYN 和 FIN 报文), 何况会话方中有三个长途主机.

sudo tcpdump 'tcp[13] & 3 != 0 and not(src and dst net 172.16.0.0)' -nn

只要熟谙tcp首部报文格式能够相比比较容易于驾驭那句话,因为tcp低价13字节的岗位为2位保留位和6位标识位(U福睿斯G,ACK,PSH,WranglerST,SYN,FIN), 所以与3相与就足以得出

SYN,FIN在那之中是还是不是多个置位1. 

从地点能够看出在写过滤表明式时,必要大家对协商格式比较领悟工夫把表明式写对。那么些相比较有难度的..。为了让tcpdump工具更人性化一些,有意气风发对常用的偏移量,

能够经过一些称呼来代替,举例icmptype表示ICMP公约的类型域、icmpcode表示ICMP的code域,tcpflags 则意味TCP协议的评释字段域。

更进一层的,对于ICMP的类型域,能够用这几个名称具体指代:icmp-echoreply, icmp-unreach, icmp-sourcequench, icmp-redirect,icmp-echo, icmp-routeradvert, icmp-routersolicit, icmp-timxceed, icmp-paramprob,icmp-tstamp, icmp-tstampreply, icmp-ireq, icmp-ireqreply, icmp-maskreq,icmp-maskreply。

而对此TCP公约的申明字段域,则能够细分为tcp-fin, tcp-syn, tcp-rst, tcp-push, tcp-ack, tcp-urg。

对于tcpdump 只好通过平时操作来纯熟这个语句了。也能够把互联网包用tcpdump截获保存到钦点文件,然后用wireshark等可视化软件剖判网络包。

 

参考:

Wireshark

做公约开拓,使用wireshark能够大大提升临盆力,下边针对MySQL公约对wireshark的应用做个简易的牵线。

抓lo包:

假设您的client和server在相似台机器,比方您自个儿的微微电脑,你会开采wireshark抓不到MySQL包,因为loopback不走网卡。消除办法比较轻松:wireshark怎么着抓取本机包 (方法二)

过滤条件:

在wireshark的过滤条件里输入tcp.port==3306 && mysql,然后回车,那样就能够只呈现mysql类型的包。

其余通讯方式不可能抓包:

如Shared memory,Named pipes等通讯格局,wireshark是抓不到的,最棒别打开这几个参数。

tcpdump:

倘诺您只持有linux命令行条件,就供给使用tcpdump抓包,抓完后sz到本地,再用wireshark分析。

client和server不在同生龙活虎台机械:tcpdump tcp port 3306 -w test.pcap

client和server在同风姿罗曼蒂克台机器:tcpdump -i lo port 3306 -w test.pcap

1.3 利用tcpprep实行预管理后发包

第一步:预管理生成Cache,命令为

tcpprep -a client -i test.pacp -o test.cache

那条命令将PCAP文件分为顾客端和服务端,默许为客商端。发送时packet将各自从顾客端和服务端发出。

第二步:重写IP地址和MAC地址,命令为

tcprewrite -e 192.85.1.2:192.85.2.2 --enet-dmac=00:15:17:2b:ca:14,00:15:17:2b:ca:15 --enet-smac=00:10:f3:19:79:86,00:10:f3:19:79:87 -c test.cache -i test.pcap -o 1.pcap 

那条命令将eth0设为服务端接口,eth1设为客商端接口,重写了IP和MAC,可通过wireshark等工具展开1.pcap,查看矫便是还是不是中标。

第三步:重放packet,命令为

tcpreplay -i eth0 -I eth1 -l 1000 -t -c /dev/shm/test.cache /dev/shm/1.pcap

为了拿到更加高的发送速度,能够把文件放到/dev/shm目录下,最高速度有1倍左右的加快。重放命令为

参数表明:

2.什么是pcap文件

-a    将互连网地址和播音地址调换成名字;

2.1 定义

本着互联网接口、端口和切磋的数据包截取。

-d    将相配新闻包的代码以大家能够领略的汇编格式给出;

2.2 获取数据包

假如你要截取互联网接口eth1,端口号6881的tcp数据包。数据文件保存为test.pcap。

tcpdump -w test.pcap -i eth1 tcp port 6881

万黄金时代要同临时候截取udp端口号33210和33220的数据包

tcpdump -w test.pcap -i eth1 tcp port 6881 or udp ( 33210 or 33220 )

-dd    将协作新闻包的代码以c语言程序段的格式给出;

2.3 保存文件读取数据包

慎选 -nn 不把互连网IP和端口号调换到名字,r(read)读取包

tcpdump -nnr test.pcap```

可以添加 -tttt 选项使时间戳格式更加可读

tcpdump -ttttnnr test.pcap```

本着IP截取数据需向tcpdump指活血的IP和端口的叶影参差(intersection),使用and运算符。比方要嗅探的指标IP为10.168.28.22,tcp端口号22。

tcpdump -w test.pcap dst 10.168.28.22 and tcp port 22```
嗅探数据包大小缺省为96 bytes,可以指定 -s 改变缺省值。

tcpdump -w test.pcap -s 1550 dst 10.168.28.22 and tcp port 22```

稍微版本的tcpdump允许钦赐端口范围,下述指令为针对一定端口范围截取数据。未有点名 -w,将不会把截取的数据包保存到文件而是径直出口到显示器。

tcpdump tcp portrange 20-24```

## **3. 什么是tcpdump**
>Linux作为网络服务器,特别是作为路由器和网关时,数据的采集和分析是不可少的。TcpDump是Linux中强大的网络数据采集分析工具之一。用简单的话来定义tcpdump,就是:dump the traffic on a network,根据使用者的定义对网络上的数据包进行截获的包分析工具。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。

#### **版本信息**![tcpreplay -V](http://upload-images.jianshu.io/upload_images/3406513-6a1e32c991fea1ac?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)

## **4.相关链接**
[Tcpreplay让协议测试从此无忧](http://www.cnblogs.com/uyunops/p/5917125.html)

[Tcpreplay命令](http://man.linuxde.net/tcpreplay)

[Usage Examples](http://tcpreplay.synfin.net/wiki/usage#UsageExamples)

-ddd   将拾叁分音信包的代码以十进制的款式提交;

-e    在输出游打字与印刷出多少链路层的底部消息;

-f    将表面包车型大巴Internet地址以数字的样式打字与印刷出来;

-l    使标准输出变为缓冲行方式;

-n    不把网络地址调换到名字;

-nn        直接以 IP 及 port number 展现,而非主机名与劳务名称

-t    在输出的每风华正茂行不打印时间戳;

-v    输出四个有一点详细的音信,比如在ip包中得以总结ttl和服务类型的新闻;

-vv    输出详细的报文音讯;

-c    在收受钦赐的包的数额后,tcpdump就能告黄金时代段落;

-F    从钦点的文本中读取表达式,忽视其余的表明式;

-i    钦定监听的互连网接口;

-r    从内定的文件中读取包(这一个包平时经过-w选项发生);

-w    直接将包写入文件中,并不分析和打字与印刷出来;

-T    将监听到的包直接表达为内定的类别的报文,不感到奇的种类有rpc (远程进度调用卡塔尔和snmp(轻松互连网管理合同;卡塔尔国

首先种是关于项目标基本点字,重要不外乎host,net,port, 举例 host 210.27.48.2,指明 210.27.48.2是生龙活虎台主机,net 202.0.0.0 指明 202.0.0.0是一个网络地址,port 23 指明端口号是23。若无一些名项目,缺省的类型是host.
其次种是鲜明传输方向的根本字,首要回顾src , dst ,dst or src, dst and src ,那么些关键字指明了传输的大势。举个例子表达,src 210.27.48.2 ,指明ip包中源地址是210.27.48.2 , dst net 202.0.0.0 指解热的互联网地址是202.0.0.0 。如果未有指明方向关键字,则缺省是src or dst关键字。
其三种是商量的要害字,重要不外乎 fddi,ip,arp,rarp,tcp,udp等品种。Fddi指明是在FDDI(布满式光导纤维数据接口网络)上的特定 的网络协议,实际上它是"ether"的外号,fddi和ether具备相像的源地址和目标地址,所以能够将fddi左券包当做ether的包举办拍卖和 分析。别的的多少个根本字便是指明了监听的包的合同内容。若无一点点名其余左券,则tcpdump将会监听全数左券的音信包。
  除了那三类别型的根本字之外,其余器重的根本字如下:gateway, broadcast,less,greater,还或然有两种逻辑运算,取非运算是 'not ' '! ', 与运算是'and','&&';或运算 是'or' ,'││';这一个关键字能够构成起来构成有力的结合条件来满足大家的需求,上边举多少个例证来证实。

tcpdump -i eth0 -w /var/test.pcap   抓取网口0上边包车型大巴数据包,存为文件/var/test.pcap

tcpdump -i eth0 -w tcpdump.pcap -s 0 '(tcp and (dst host 192.168.0.2) ) '  -w tcpdump.pcap是指将抓取到的包存到tcpdump.pcap这么些文件中,-s 0是指尽或者大的抓取每种包(尽量不截断卡塔尔,最前面包车型大巴单引号里的内容是过滤准绳。

tcpdump -r test.pcap -w http_only.pcap -s 0 tcp port 80   -r test.pcap是指从test.pcap中读包。那些命令的意思是从test.pcap中读包后,根据“tcp port 80”这么些过滤法则筛选出满意供给的包,将这一个包存到http_only.pcap那些文件中去。

 A想要截获全数210.27.48.1 的主机收到的和产生的有着的数据包:
#tcpdump host 210.27.48.1
B想要截获主机210.27.48.1 和主机210.27.48.2 或210.27.48.3的通信,使用命令:(在指令行中适用 括号时,必须要
#tcpdump host 210.27.48.1 and (210.27.48.2 or 210.27.48.3 )
C尽管想要获取主机210.27.48.1除了和主机210.27.48.2之外全数主机通讯的ip包,使用命令:
#tcpdump ip host 210.27.48.1 and ! 210.27.48.2
D即使想要获取主机210.27.48.1摄取或发生的telnet包,使用如下命令:
#tcpdump tcp port 23 host 210.27.48.1
E 对本机的udp 123 端口举办监视 123 为ntp的服务端口
# tcpdump udp port 123

F 系统将只对名称叫hostname的主机的通讯数据包进行监视。主机名能够是本土主机,也足以是网络上的任何生机勃勃台微管理机。上面包车型地铁吩咐能够读取主机hostname发送的保有数据:
#tcpdump -i eth0 src host hostname
G 上面包车型客车通令能够监视全体送到主机hostname的多少包:
#tcpdump -i eth0 dst host hostname
H  大家还足以监视通过点名网关的数目包:
#tcpdump -i eth0 gateway Gatewayname
I 如若您还想监视编址到钦赐端口的TCP或UDP数据包,那么施行以下命令:
#tcpdump -i eth0 host hostname and port 80
J 假若想要获取主机210.27.48.1除了和主机210.27.48.2之外全部主机通讯的ip包
,使用命令:
#tcpdump ip host 210.27.48.1 and ! 210.27.48.2
K 想要截获主机210.27.48.1 和主机210.27.48.2 或210.27.48.3的通讯,使用命令
:(在指令行中适用 括号时,必必要
#tcpdump host 210.27.48.1 and (210.27.48.2 or 210.27.48.3 )
L 假诺想要获取主机210.27.48.1除了和主机210.27.48.2之外全部主机通讯的ip包,使用命令:
 #tcpdump ip host 210.27.48.1 and ! 210.27.48.2
M 假诺想要获取主机210.27.48.1收到或发生的telnet包,使用如下命令:
 #tcpdump tcp port 23 host 210.27.48.1

 

编辑:数据库 本文来源:endian作为网络字节序,大多数的类Unix系统操作系

关键词: