⭐ 欢迎来到虫虫下载站! | 📦 资源下载 📁 资源专辑 ℹ️ 关于我们
⭐ 虫虫下载站
📤 上传资源

📄 tcpdump的使用.htm

📁 介绍了tcpdump的使用。
💻 HTM
字号:
🔍 
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3c.org/TR/1999/REC-html401-19991224/loose.dtd">
<!-- saved from url=(0046)http://www.xfocus.net/articles/200105/172.html -->
<HTML><HEAD><TITLE>Tcpdump的使用</TITLE>
<META http-equiv=Content-Type content="text/html; charset=gb2312">
<META 
content="安全焦点, xfocus, 陷阱网络, honeynet, honeypot, 调查取证, forensic, 入侵检测, intrusion detection, 无线安全, wireless security, 安全论坛, security forums, 安全工具, security tools, 攻击程序, exploits, 安全公告, security advisories, 安全漏洞, security vulnerabilities, 安全教程, security tutorials, 安全培训, security training, 安全帮助, security help, 安全标准, security standards, 安全代码, security code, 安全资源, security resources, 安全编程, security programming, 加密, cryptography," 
name=Keywords><LINK href="Tcpdump的使用.files/plone.css" type=text/css 
rel=stylesheet>
<META content="MSHTML 6.00.2800.1106" name=GENERATOR></HEAD>
<BODY text=#000000 bgColor=#ffffff>
<DIV class=top>
<DIV class=searchBox>
<FORM name=searchform action=http://www.google.com/search method=get><INPUT 
type=hidden value=www.xfocus.net name=domains> <INPUT type=hidden 
value=www.xfocus.net name=sitesearch> <INPUT name=q> <INPUT type=submit value="Google Search" name=btnG> </FORM></DIV><IMG height=80 
alt="xfocus logo" src="Tcpdump的使用.files/logo.gif" width=180 border=0> <IMG 
height=20 alt="xfocus title" src="Tcpdump的使用.files/title.gif" width=230 
border=0> </DIV>
<DIV class=tabs><A class=plain href="http://www.xfocus.net/index.html">首页</A> <A 
class=plain href="http://www.xfocus.net/releases/index.html">焦点原创</A> <A 
class=selected href="http://www.xfocus.net/articles/index.html">安全文摘</A> <A 
class=plain href="http://www.xfocus.net/tools/index.html">安全工具</A> <A 
class=plain href="http://www.xfocus.net/vuls/index.html">安全漏洞</A> <A class=plain 
href="http://www.xfocus.net/projects/index.html">焦点项目</A> <A class=plain 
href="https://www.xfocus.net/bbs/index.php?lang=cn">焦点论坛</A> <A class=plain 
href="http://www.xfocus.net/about/index.html">关于我们</A> </DIV>
<DIV class=personalBar><A 
href="https://www.xfocus.net/php/add_article.php">添加文章</A> <A 
href="http://www.xfocus.org/">English Version</A> </DIV>
<TABLE class=columns>
  <TBODY>
  <TR>
    <TD class=left>
      <DIV class=box>
      <H5>&nbsp;文章分类&nbsp;</H5>
      <DIV class=body>
      <DIV class="content odd">
      <DIV style="WHITE-SPACE: nowrap"><IMG 
      src="Tcpdump的使用.files/folder_icon.gif" border=0> <A 
      href="http://www.xfocus.net/articles/4.html">专题文章</A><BR><IMG 
      src="Tcpdump的使用.files/folder_icon.gif" border=0> <A 
      href="http://www.xfocus.net/articles/2.html">漏洞分析</A><BR><IMG 
      src="Tcpdump的使用.files/folder_icon.gif" border=0> <A 
      href="http://www.xfocus.net/articles/3.html">安全配置</A><BR><IMG 
      src="Tcpdump的使用.files/folder_icon.gif" border=0> <A 
      href="http://www.xfocus.net/articles/1.html">黑客教学</A><BR><IMG 
      src="Tcpdump的使用.files/folder_icon.gif" border=0> <A 
      href="http://www.xfocus.net/articles/5.html">编程技术</A><BR><IMG 
      src="Tcpdump的使用.files/folder_icon.gif" border=0> <A 
      href="http://www.xfocus.net/articles/7.html"><B>工具介绍 
      &lt;&lt;</B></A><BR><IMG src="Tcpdump的使用.files/folder_icon.gif" border=0> 
      <A href="http://www.xfocus.net/articles/6.html">火墙技术</A><BR><IMG 
      src="Tcpdump的使用.files/folder_icon.gif" border=0> <A 
      href="http://www.xfocus.net/articles/8.html">入侵检测</A><BR><IMG 
      src="Tcpdump的使用.files/folder_icon.gif" border=0> <A 
      href="http://www.xfocus.net/articles/9.html">破解专题</A><BR><IMG 
      src="Tcpdump的使用.files/folder_icon.gif" border=0> <A 
      href="http://www.xfocus.net/articles/11.html">焦点公告</A><BR><IMG 
      src="Tcpdump的使用.files/folder_icon.gif" border=0> <A 
      href="http://www.xfocus.net/articles/12.html">焦点峰会</A><BR></DIV></DIV></DIV></DIV>
      <DIV class=box>
      <H5>&nbsp;文章推荐&nbsp;</H5>
      <DIV class=body>
      <DIV class="content odd"><IMG src="Tcpdump的使用.files/document_icon.gif" 
      border=0> <A href="http://www.xfocus.net/articles/200307/579.html">LSD RPC 
      溢出漏洞之分析</A><BR><IMG src="Tcpdump的使用.files/document_icon.gif" border=0> <A 
      href="http://www.xfocus.net/articles/200306/562.html">任意用户模式下执行 ring 0 
      代码</A><BR><IMG src="Tcpdump的使用.files/document_icon.gif" border=0> <A 
      href="http://www.xfocus.net/articles/200307/563.html">IIS的NSIISLOG.DLL溢出问题分析</A><BR></DIV></DIV></DIV></TD>
    <TD class=main>
      <H1>Tcpdump的使用</H1><BR>创建时间:2001-05-15<BR>文章属性:转载<BR>文章提交:<A 
      href="https://www.xfocus.net/bbs/index.php?lang=cn&amp;act=Profile&amp;do=03&amp;MID=3">xundi</A> 
      (xundi_at_xfocus.org)<BR><BR>发信站: 武汉白云黄鹤站 (Tue May 15 09:43:22 2001) , 
      转信<BR><BR>来源:<A 
      href="http://www.china-pub.com/computers/emook/0424/info.htm" 
      target=_blank>http://www.china-pub.com/computers/emook/0424/info.htm</A><BR>作者:李国莉 <BR><BR><BR>tcpdump采用命令行方式,它的命令格式为:<BR>  tcpdump 
      [ -adeflnNOpqStvx ] [ -c 数量 ] [ -F 文件名 ]<BR>          [ -i 网络接口 ] [ -r 
      文件名] [ -s snaplen ]<BR>          [ -T 类型 ] [ -w 文件名 ] [表达式 ]<BR><BR>  1. 
      tcpdump的选项介绍<BR>   -a    将网络地址和广播地址转变成名字;<BR>   -d 
         将匹配信息包的代码以人们能够理解的汇编格式给出;<BR>   -dd    将匹配信息包的代码以c语言程序段的格式给出;<BR>   -ddd 
         将匹配信息包的代码以十进制的形式给出;<BR>   -e    在输出行打印出数据链路层的头部信息;<BR>   -f 
         将外部的Internet地址以数字的形式打印出来;<BR>   -l    使标准输出变为缓冲行形式;<BR>   -n 
         不把网络地址转换成名字;<BR>   -t    在输出的每一行不打印时间戳;<BR>   -v 
         输出一个稍微详细的信息,例如在ip包中可以包括ttl和服务类型的信息;<BR>   -vv    输出详细的报文信息;<BR>   -c 
         在收到指定的包的数目后,tcpdump就会停止;<BR>   -F    从指定的文件中读取表达式,忽略其它的表达式;<BR>   -i 
         指定监听的网络接口;<BR>   -r    从指定的文件中读取包(这些包一般通过-w选项产生);<BR>   -w 
         直接将包写入文件中,并不分析和打印出来;<BR>   -T    将监听到的包直接解释为指定的类型的报文,常见的类型有rpc 
      (远程过程<BR>调用)和snmp(简单       网络管理协议;)<BR><BR>  2. 
      tcpdump的表达式介绍<BR>   表达式是一个正则表达式,tcpdump利用它作为过滤报文的条件,如果一个报文满足表<BR>达式的条件,则这个报文将会被捕获。如果没有给出任何条件,则网络上所有的信息包将会<BR>被截获。<BR>   在表达式中一般如下几种类型的关键字,一种是关于类型的关键字,主要包括host,<BR>net,port, 
      例如 host 210.27.48.2,指明 210.27.48.2是一台主机,net 202.0.0.0 
      指明<BR>202.0.0.0是一个网络地址,port 23 
      指明端口号是23。如果没有指定类型,缺省的类型是<BR>host.<BR>   第二种是确定传输方向的关键字,主要包括src , dst ,dst 
      or src, dst and src ,<BR>这些关键字指明了传输的方向。举例说明,src 210.27.48.2 
      ,指明ip包中源地址是210.27.<BR>48.2 , dst net 202.0.0.0 指明目的网络地址是202.0.0.0 
      。如果没有指明方向关键字,则<BR>缺省是src or dst关键字。<BR>   第三种是协议的关键字,主要包括fddi,ip 
      ,arp,rarp,tcp,udp等类型。Fddi指明是在<BR>FDDI(分布式光纤数据接口网络)上的特定的网络协议,实际上它是"ether"的别名,fddi和e<BR>ther具有类似的源地址和目的地址,所以可以将fddi协议包当作ether的包进行处理和分析。<BR>其他的几个关键字就是指明了监听的包的协议内容。如果没有指定任何协议,则tcpdump将会<BR>监听所有协议的信息包。<BR>   除了这三种类型的关键字之外,其他重要的关键字如下:gateway, 
      broadcast,less,<BR>greater,还有三种逻辑运算,取非运算是 'not ' '! ', 
      与运算是'and','&amp;&amp;';或运算 是'o<BR>r' 
      ,'||';<BR>   这些关键字可以组合起来构成强大的组合条件来满足人们的需要,下面举几个例子来<BR>说明。<BR>   (1)想要截获所有210.27.48.1 
      的主机收到的和发出的所有的数据包:<BR>    #tcpdump host 210.27.48.1 <BR>   (2) 
      想要截获主机210.27.48.1 和主机210.27.48.2 
      或210.27.48.3的通信,使用命令<BR>:(在命令行中适用   括号时,一定要<BR>    #tcpdump host 
      210.27.48.1 and \ (210.27.48.2 or 210.27.48.3 \) <BR>   (3) 
      如果想要获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包<BR>,使用命令:<BR>    #tcpdump 
      ip host 210.27.48.1 and ! 
      210.27.48.2<BR>   (4)如果想要获取主机210.27.48.1接收或发出的telnet包,使用如下命令:<BR>    #tcpdump 
      tcp port 23 host 210.27.48.1 <BR><BR>  3. tcpdump 
      的输出结果介绍<BR>   下面我们介绍几种典型的tcpdump命令的输出信息<BR>   (1) 
      数据链路层头信息<BR>   使用命令#tcpdump --e host ice<BR>   ice 
      是一台装有linux的主机,她的MAC地址是0:90:27:58:AF:1A<BR>   H219是一台装有SOLARIC的SUN工作站,它的MAC地址是8:0:20:79:5B:46;上一条<BR>命令的输出结果如下所示:<BR>21:50:12.847509 
      eth0 &lt; 8:0:20:79:5b:46 0:90:27:58:af:1a ip 60: h219.33357 &gt; 
      ice.<BR>telne<BR>t 0:0(0) ack 22535 win 8760 (DF)<BR>  分析:21:50:12是显示的时间, 
      847509是ID号,eth0 &lt;表示从网络接口eth0 接受该<BR>数据包,eth0 &gt;表示从网络接口设备发送数据包, 
      8:0:20:79:5b:46是主机H219的MAC地址,它<BR>表明是从源地址H219发来的数据包. 
      0:90:27:58:af:1a是主机ICE的MAC地址,表示该数据包的<BR>目的地址是ICE . ip 是表明该数据包是IP数据包,60 
      是数据包的长度, h219.33357 &gt; ice.<BR>telnet 
      表明该数据包是从主机H219的33357端口发往主机ICE的TELNET(23)端口. ack 
      22535<BR>表明对序列号是222535的包进行响应. win 8760表明发送窗口的大小是8760.<BR><BR>  (2) 
      ARP包的TCPDUMP输出信息<BR>   使用命令#tcpdump arp 
      <BR>   得到的输出结果是:<BR>  22:32:42.802509 eth0 &gt; arp who-has route tell ice 
      (0:90:27:58:af:1a)<BR>  22:32:42.802902 eth0 &lt; arp reply route is-at 
      0:90:27:12:10:66 (0:90:27:58:af<BR>:1a)<BR>  分析: 22:32:42是时间戳, 802509是ID号, 
      eth0 &gt;表明从主机发出该数据包, arp表明是<BR>ARP请求包, who-has route tell 
      ice表明是主机ICE请求主机ROUTE的MAC地址。 0:90:27:5<BR>8:af:1a是主机ICE的MAC地址。<BR><BR>  (3) 
      TCP包的输出信息<BR>   用TCPDUMP捕获的TCP包的一般输出信息是:<BR>  src &gt; dst: flags 
      data-seqno ack window urgent options<BR>  src &gt; dst:表明从源地址到目的地址, 
      flags是TCP包中的标志信息,S 是SYN标志, F (F<BR>IN), P (PUSH) , R (RST) "." (没有标记); 
      data-seqno是数据包中的数据的顺序号, ack是<BR>下次期望的顺序号, window是接收缓存的窗口大小, 
      urgent表明数据包中是否有紧急指针. <BR>Options是选项.<BR><BR>  (4) 
      UDP包的输出信息<BR>   用TCPDUMP捕获的UDP包的一般输出信息是:<BR>  route.port1 &gt; ice.port2: 
      udp 
      lenth<BR>  UDP十分简单,上面的输出行表明从主机ROUTE的port1端口发出的一个UDP数据包到主机<BR>ICE的port2端口,类型是UDP, 
      包的长度是lenth </TD></TR></TBODY></TABLE>
<DIV class=footer>Copyright &copy; 1998-2003 XFOCUS Team. All Rights Reserved 
</DIV></BODY></HTML>

⌨️ 快捷键说明

复制代码 Ctrl + C
搜索代码 Ctrl + F
全屏模式 F11
切换主题 Ctrl + Shift + D
显示快捷键 ?
增大字号 Ctrl + =
减小字号 Ctrl + -