TCPDUMP数据包分析及在服务器维护过程中的作用。windump用法类似。今天特别为了测试tcpdump架设了两个虚拟机,对所述命令进行测试。以达到完全了解tcpdump的目的。环境centos 5 虚拟机用vmware。
tcpdump的选项介绍 -a 将网络地址和广播地址转变成名字; -d 将匹配信息包的代码以人们能够理解的汇编格式给出; -dd 将匹配信息包的代码以c语言程序段的格式给出; -ddd 将匹配信息包的代码以十进制的形式给出; -e 在输出行打印出数据链路层的头部信息; -f 将外部的Internet地址以数字的形式打印出来; -l 使标准输出变为缓冲行形式; -n 不把网络地址转换成名字; -t 在输出的每一行不打印时间戳; -v 输出一个稍微详细的信息,例如在ip包中可以包括ttl和服务类型的信息; -vv 输出详细的报文信息; -c 在收到指定的包的数目后,tcpdump就会停止; -F 从指定的文件中读取表达式,忽略其它的表达式; -i 指定监听的网络接口; -r 从指定的文件中读取包(这些包一般通过-w选项产生); -w 直接将包写入文件中,并不分析和打印出来; -T 将监听到的包直接解释为指定的类型的报文,常见的类型有rpc (远程过程调用)和snmp(简单网络管理协议;) tcpdump -nnnv arp 查找ARP攻击时确定攻击原MAC地址时常用。 tcpdump -nnnv udp port 53 DNS服务器53端口受ARP攻击时查看攻击源时用。 tcpdump -nnnv udp and not port 53 可以确定是否有非53端口的大流量UDP攻击 tcpdump -nnnv port 80 and host 192.168.0.1 找出从192.168.0.1的80端口收到或发送的IP包。 tcpdump -nnnv ip host 210.27.48.1 and ! 210.27.48.2 获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包 tcpdump -nnnv host 210.27.48.1 and \ (210.27.48.2 or 210.27.48.3 \) 截获主机210.27.48.1 和主机210.27.48.2 或210.27.48.3的通信 tcpdump -nnnv host ! 192.168.15.129 and ! 192.168.15.130 and dst port 80 捕获除了主机192.168.15.129与192.168.15.130 且到本机目标80端口的数据包。 tcpdump -nnnv src 192.168.15.129 and port 53 捕获由192.168.15.129到本机53端口的数据包。不管是UDP还是TCP 信息参考: Tcpdump命令的使用与示例http://tcpdump./news/24/586.html" 超级详细Tcpdump 的用法 http://course.51cto.com/art/200512/15473.htm Linux下的Sniffer Tcpdump的安装和使用http:///vc/www/28/2007-08/8018.html 注此文中部分命令是错的。 TCPDump使用方法小结 http://softtest./qita/746811.html TCPDUMP高级用法http://blog.csdn.net/linyt/archive/2007/12/14/1936073.aspx |
|