[问题求助][RedHat] Tcpdump,packet inside. [复制链接]

上一主题下一主题查看指定楼层

离线洋洋崽崽.

初中三年级

发帖: 2078

C币: -235495

威望: 377

贡献值: 1

银元: -1

铜钱: 4606

人人网人气币: 0

只看楼主倒序阅读使用道具楼主发表于: 2009-05-01

Tcpdump是一款专业的网络分析工具，它不仅可以帮助我.们分析网络报文，更是我们学习TCP/IP的好帮手，尽管很多人.认为另一款软件Wireshark更.为高级。外贸
首先介绍介绍-s参数吧.，它指的是设置你要捕获报文的大小，默.认捕获大小在68Byte以内的报文，设置为0表示捕获所有报文。.
下面是用得比较多的参数：
-i. 网络接口 :指定要侦听的网络接口（比如网卡eth0）.. .
-n : 不解析主机名（比如有台机器名称是Mars其IP地址是1.1.2.2.,如果指定-.n显示IP地址，不指定显示Mars）              汽车
-nn : 不解析主机名和端口名（比如访问.的是80端口，不加nn显示的是Mars.ht.tp，加了显示1.1.2.2.80）    健康
-X :. 用1.6进制表示报文内容和相应的ASCII值。(广告)
-v, -vv, -.vvv : 增加描述包的信息            建材
-c .: 指定捕获报文的数量. .
-S : 打印绝.对序列号值（SEQ、ACK）. 服务器
-.e : 把以太报文头也一并捕获..

host // 捕获IP地址为1.2.3..4的所有.报文服务器
tcpdump host. 1.2.3.4 外贸

src., dst //. 捕获源地址为2.3.4.5的报文；捕获目的地址为3.4.5.6的报文域名
tcpdum.p src 2.3.4.5虚拟主机
tcpdump dst 3..4.5.6           婚庆

net // 捕获.1.2.3.0网段的报文。    外汇
t.cpdump net 1.2.3.0/24 --- 印刷

proto //. 支持tcp.,udp,icmp,ip，捕获icmp报文     外汇
tcpdump icmp

port // 捕获端口号为3389的.报文              电子
tcpdump port 3389. .

sr.c, dst port // 捕获源端口为1025的报文；捕获目的端口为3389的报文.              汽车
tc.pdump src port 1025 外贸
tcpdump dst por.t 3389  投资

1.AND
and or &&

2.OR
or or ||

3.EXCEPT
not or !

捕获采用TCP协议并.且源地址为10.5.2.3,.目标端口为3389的报文           建材
#. tcpdump -nnv.vS tcp and src 10.5.2.3 and dst port 3389           女人

捕获源网段为192.168.0.0/16并且目标.网段为10.0.0.0或者.172.16.0.0的报文电脑
# tcpdump -n.vX src net 192.168.0.0/.16 and dst net 10.0.0.0/8 or 172.16.0.0./16教育

捕获报文大小为1514.字节，目标地址为192.168.0.2,源网段为172.16.0.0并且不属于ICMP协议的报文:.           鲜花
# tcpdump -nvvXSs 1514 dst 192..168.0.2 a.nd src net 172.16.0.0/16 and no.t icmp    美容

捕获源主机名为mars或p.luto并且目标端口不.是22的报文.
# tcpdump -vv src mars or pluto and not. .dst port 22电影

捕获源地址为10.0..2.4并且目标端口为3389或者22的报文（注意这个格式是错.误的）              乙肝
# tcpdump src 10.0..2.4 and (dst .port 3389 or 22)(        游戏          )
如果运行这个命令，你会收到一个系统错误提示，因为里面有了圆括号。你可以在每个括号前加入'\'（不包括引号）进.行转义，或者在整段.语句两端加入单引号''    外汇
# tcpdump 'src 10.0.2.4 and (dst port 3389. or 2.2)'[成人用品]
# tcpdump src 10.0.2.4 and \.( dst por.t 3389 or 22 \)域名

[进阶]
你还可以只对SYN-ACK等标志位进行报文捕获哦，这是我也才学到的， .：（在论坛发问没人理，只有自己去.找了。              乙肝
tcpd.ump 'tcp[13] ＝18'.
tcp[13]代表TCP报文的第13.个字节（相对偏移值.），!=0表示是捕获相应标志位为1的报文。.

希望大家一起学习进步。