邯郸建设网站制作,上海建设门户网站,wordpress右侧空白,重庆网站设计制作网站学习原因 工作上遇到了重启wifi后无法发出mDNS packet的情况#xff0c;琢磨一下用tcpdump用的命令如下 sudo tcpdump -n -k -s 0 -i en0 -w VENDOR-DUT-INTERFACE.pcapng是在测airplay BCT认证时#xff0c;官方文档的解决方法。对tcpdump很不了解#xff0c;现汇总如下的学…学习原因 工作上遇到了重启wifi后无法发出mDNS packet的情况琢磨一下用tcpdump用的命令如下 sudo tcpdump -n -k -s 0 -i en0 -w VENDOR-DUT-INTERFACE.pcapng是在测airplay BCT认证时官方文档的解决方法。对tcpdump很不了解现汇总如下的学习记录 tcpdump介绍
tcpdump 是一个运行在命令行下的抓包工具。它允许用户拦截和显示发送或收到过网络连接到该计算机的TCP/IP和其他数据包。
tcpdump 适用于大多数的类Unix系统操作系统(如linux,BSD等)。类Unix系统的 tcpdump 需要使用libpcap这个捕捉数据的库就像 windows下的WinPcap。 在学习tcpdump前最好对基本网络的网络知识有一定的认识。 tcpdump命令格式及常用参数
Tcpdump的大概形式如下:
tcpdump –i eth0 ’port 1111‘ -X -c 3-X告诉tcpdump命令需要把协议头和包内容都原原本本的显示出来tcpdump会以16进制和ASCII的形式显示这在进行协议分析时是绝对的利器。 tcpdump采用命令行方式它的命令格式为
tcpdump [ -adeflnNOpqStvx ] [ -c 数量 ] [ -F 文件名 ][ -i 网络接口 ] [ -r 文件名] [ -s snaplen ][ -T 类型 ] [ -w 文件名 ] [表达式 ]下图是Mac上对参数的解释 tcpdump的选项介绍 -a 将网络地址和广播地址转变成名字-d 将匹配信息包的代码以人们能够理解的汇编格式给出-dd 将匹配信息包的代码以c语言程序段的格式给出-ddd 将匹配信息包的代码以十进制的形式给出-e 在输出行打印出数据链路层的头部信息包括源mac和目的mac以及网络层的协议-f 将外部的Internet地址以数字的形式打印出来-l 使标准输出变为缓冲行形式-n 指定将每个监听到数据包中的域名转换成IP地址后显示不把网络地址转换成名字-nn 指定将每个监听到的数据包中的域名转换成IP、端口从应用名称转换成端口号后显示-t 在输出的每一行不打印时间戳-v 输出一个稍微详细的信息例如在ip包中可以包括ttl和服务类型的信息-vv 输出详细的报文信息-c 在收到指定的包的数目后tcpdump就会停止-F 从指定的文件中读取表达式,忽略其它的表达式-i 指定监听的网络接口-p 将网卡设置为非混杂模式不能与host或broadcast一起使用-r 从指定的文件中读取包(这些包一般通过-w选项产生)-w 直接将包写入文件中并不分析和打印出来-s snaplen snaplen表示从一个包中截取的字节数。0表示包不截断抓完整的数据包。默认的话 tcpdump 只显示部分数据包,默认68字节。-T 将监听到的包直接解释为指定的类型的报文常见的类型有rpc 远程过程调用和snmp简单网络管理协议-X 告诉tcpdump命令需要把协议头和包内容都原原本本的显示出来tcpdump会以16进制和ASCII的形式显示这在进行协议分析时是绝对的利器。 1、抓取回环网口的包
tcpdump -i lo2、防止包截断
tcpdump -s03、以数字显示主机及端口
tcpdump -n比如输入下列的命令 tcpdump –i eth0 ‘port 1111’ -X -c 3-i 是interface的含义是指我们有义务告诉tcpdump希望他去监听哪一个网卡,
-X告诉tcpdump命令需要把协议头和包内容都原原本本的显示出来tcpdump会以16进制和ASCII的形式显示这在进行协议分析时是绝对的利器。
port 1111我们只关心源端口或目的端口是1111的数据包.
-c 是Count的含义这设置了我们希望tcpdump帮我们抓几个包。
其中还有另外一个比较重要的参数– l 使得输出变为行缓冲
-l选项的作用就是将tcpdump的输出变为“行缓冲”方式这样可以确保tcpdump遇到的内容一旦是换行符即将缓冲的内容输出到标准输出以便于利用管道或重定向方式来进行后续处理。
Linux/UNIX的标准I/O提供了全缓冲、行缓冲和无缓冲三种缓冲方式。
标准错误是不带缓冲的终端设备常为行缓冲而其他情况默认都是全缓冲的。
例如我们只想提取包的每一行的第一个域(时间域)这种情况下我们就需要-l将默认的全缓冲变为行缓冲了。
tcpdump -i eth0 port 1111 -l | awk {print $1}参数–w -r
-w 直接将包写入文件中(即原始包如果使用 重定向 则只是保存显示的结果而不是原始文件)即所谓的“流量保存”—就是把抓到的网络包能存储到磁盘上
保存下来为后续使用。参数-r 达到“流量回放”—就是把历史上的某一时间段的流量重新模拟回放出来用于流量分析。 通过-w选项将流量都存储在cp.pcap(二进制格式)文件中了.可以通过 –r 读取raw packets文件 cp.pcap.
如sudo tcpdump i- eth0 ‘port 1111’ -c 3 -r cp.pcap 即可进行流量回放。 tcpdump的输出结果介绍
sudo tcpdump -i eth0 -e -nn -X -c 2 port1111 所截获包内容如下:
-n 不把网络地址转换成名字 sudo tcpdump -i eth0 -e -nn -X -c 2 port1111 第一行:“tcpdump: verbose output suppressed, use -v or -vv for fullprotocol decode”
提示使用选项-v和-vv可以看到更全的输出内容。
第二行“listening on eth0, link-type EN10MB (Ethernet), capture size 65535bytes”
我们监听的是通过eth0这个NIC设备的网络包且它的链路层是基于以太网的要抓的包大小限制是65535字节。包大小限制值可以通过-s选项来设置。
第三行”12:40:33.569037 00:19:e0:b5:10:94 00:1a:a0:31:39:d4, ethertypeIPv4 (0x0800),”
12:40:33.569037 分别对应着这个包被抓到的“时”、“分”、“秒”、“微妙”。
00:19:e0:b5:10:94 00:1a:a0:31:39:d4 表示MAC地址00:19:e0:b5:10:94发送到MAC地址为00:1a:a0:31:39:d4的主机ethertype IPv4 (0x0800)表示
Ethernet帧的协议类型为ipv4(即代码为0x0800)。
第四行”length 66: 210.45.123.249.27236 172.16.0.11.1111: Flags [S],seq 1624463808,
length 66表示以太帧长度为66。 210.45.123.249.27236表示这个包的源IP为210.45.123.249源端口为27236’’表示数据包的传输方向, 172.16.0.11.1111,
表示这个数据包的目的端ip为172.16.0.11,目标端口为1111,1111端口是我的一个web服务器监听端口。Flags是[S]表明是syn建立连接包(即三次握手的第一次
握手)seq1624463808 序号为1624463808这个其实就是TCP三次握手的第一次握手client(210.45.123.249)发送syn请求建立连接包。
第五行” win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0”
win 8192 表示窗口大小为8192字节。options[mss 1460,nop,wscale 2,nop,nop,sackOK]为tcp首部可选字段mss 1460表示mss是发送端客户端通告的最大
报文段长度发送端将不接收超过这个长度的TCP报文段(这个值和MTU有一定关系)。nop是一个空操作选项, wscale指出发送端使用的窗口扩大因子为2, sackOK
表示发送端支持并同意使用SACK选。
下面几行分别是IP,TCP首部 这里不再敷述。 tcpdump过滤语句介绍
可以给tcpdump传送“过滤表达式”来起到网络包过滤的作用而且可以支持传入单个或多个过滤表达式。
可以通过命令 man pcap-filter 来参考过滤表达式的帮助文档
过滤表达式大体可以分成三种过滤条件“类型”、“方向”和“协议”这三种条件的搭配组合就构成了我们的过滤表达式。
关于类型的关键字主要包括hostnetport, 例如 host 210.45.114.211指定主机 210.45.114.211net 210.11.0.0 指明210.11.0.0是一个网络地址port 21 指明
端口号是21。如果没有指定类型缺省的类型是host.
关于传输方向的关键字主要包括src , dst ,dst or src, dst and src ,
这些关键字指明了传输的方向。举例说明src 210.45.114.211 ,指明ip包中源地址是210.45.114.211, dst net 210.11.0.0 指明目的网络地址是210.11.0.0 。如果没有指明
方向关键字则缺省是srcor dst关键字。
关于协议的关键字主要包括 ether,ip,ip6,arp,rarp,tcp,udp等类型。这几个的包的协议内容。如果没有指定任何协议则tcpdump将会监听所有协议的信息包。
如我们只想抓tcp的包命令为: sudo tcpdump -i eth0 -nn -c1 ‘tcp’ 除了这三种类型的关键字之外其他重要的关键字如下
gateway, broadcast,less,greater,还有三种逻辑运算取非运算是 ‘not ’ ‘! ‘, 与运算是’and’,’’;或运算是’or’ ,‘||’
可以利用这些关键字进行组合从而组合为比较强大的过滤条件。下面举例说明
(1)只想查目标机器端口是21或80的网络包其他端口的我不关注 sudo tcpdump -i eth0 -c 10 dst port 21 or dst port 80(2) 想要截获主机172.16.0.11 和主机210.45.123.249或 210.45.123.248的通信使用命令(注意括号的使用)
sudo tcpdump -i eth0 -c 3 host 172.16.0.11 and (210.45.123.249 or210.45.123.248)(3)想获取使用ftp端口和ftp数据端口的网络包 sudo tcpdump port ftp or ftp-data这里 ftp、ftp-data到底对应哪个端口 linux系统下 /etc/services这个文件里面就存储着所有知名服务和传输层端口的对应关系。如果你直接把/etc/services里
的ftp对应的端口值从21改为了3333那么tcpdump就会去抓端口含有3333的网络包了。
(4) 如果想要获取主机172.16.0.11除了和主机210.45.123.249之外所有主机通信的ip包使用命令 sudo tcpdump ip ‘host 172.16.0.11 and ! 210.45.123.249’(5) 抓172.16.0.11的80端口和110和25以外的其他端口的包
sudo tcpdump -i eth0 ‘host 172.16.0.11 and! port 80 and ! port 25 and ! port 110’下面介绍一些tcpdump中过滤语句比较高级的用法
想获取172.16.10.11和google.com之间建立TCP三次握手中带有SYN标记位的网络包.
sudo tcpdump -i eth0 host 172.16.0.11 andhost google.com and tcp[tcpflags]tcp-syn!0 -c 3 -nn其实我们理解这种语法: proto [ expr : size] 就不难理解上面的语句了。
详细介绍proto [ expr : size]
Proto即protocol的缩写它表示这里要指定的是某种协议名称如ip,tcp,udp等。总之可以指定的协议有十多种如链路层协议ether,fddi,tr,wlan,ppp,slip,link,
网络层协议ip,ip6,arp,rarp,icmp传输层协议tcp,udp等。
expr用来指定数据报字节单位的偏移量该偏移量相对于指定的协议层默认的起始位置是0而size表示从偏移量的位置开始提取多少个字节可以设置为
1、2、4,默认为1字节。如果只设置了expr而没有设置size则默认提取1个字节。比如ip[2:2]就表示提取出第3、4个字节而ip[0]则表示提取ip协议头的
第一个字节。在我们提取了特定内容之后我们就需要设置我们的过滤条件了我们可用的“比较操作符”包括!总共有6个。 举例想截取每个TCP会话的起始和结束报文(SYN 和 FIN 报文), 而且会话方中有一个远程主机.
sudo tcpdump tcp[13] 3 ! 0 and not(src and dst net 172.16.0.0) -nn如果熟悉tcp首部报文格式可以比较容易理解这句话因为tcp便宜13字节的位置为2位保留位和6位标志位(URG,ACK,PSH,RST,SYN,FIN), 所以与3相与就可以得出
SYN,FIN其中是否一个置位1.
从上面可以看到在写过滤表达式时需要我们对协议格式比较理解才能把表达式写对。这个比较有难度的…。为了让tcpdump工具更人性化一些有一些常用的偏移量
可以通过一些名称来代替比如icmptype表示ICMP协议的类型域、icmpcode表示ICMP的code域tcpflags 则表示TCP协议的标志字段域。
更进一步的对于ICMP的类型域可以用这些名称具体指代icmp-echoreply, icmp-unreach, icmp-sourcequench, icmp-redirect,icmp-echo, icmp-routeradvert, icmp-routersolicit, icmp-timxceed, icmp-paramprob,icmp-tstamp, icmp-tstampreply, icmp-ireq, icmp-ireqreply, icmp-maskreq,icmp-maskreply。
而对于TCP协议的标志字段域则可以细分为tcp-fin, tcp-syn, tcp-rst, tcp-push, tcp-ack, tcp-urg。
对于tcpdump 只能通过经常操作来熟练这些语句了。也可以把网络包用tcpdump截获保存到指定文件,然后用wireshark等可视化软件分析网络包。 参考: http://network.51cto.com/art/200512/15473.htm http://fanqiang.chinaunix.net/app/other/2006-07-14/4833.shtml http://hi.baidu.com/sxq5858/item/af17d7bf0397ca77244b0953 http://www.cnblogs.com/ggjucheng/archive/2012/01/14/2322659.html
文章转载自: http://www.morning.lltdf.cn.gov.cn.lltdf.cn http://www.morning.bwqr.cn.gov.cn.bwqr.cn http://www.morning.yqqgp.cn.gov.cn.yqqgp.cn http://www.morning.ksqyj.cn.gov.cn.ksqyj.cn http://www.morning.dygqq.cn.gov.cn.dygqq.cn http://www.morning.kngx.cn.gov.cn.kngx.cn http://www.morning.zqsnj.cn.gov.cn.zqsnj.cn http://www.morning.llllcc.com.gov.cn.llllcc.com http://www.morning.qxkjy.cn.gov.cn.qxkjy.cn http://www.morning.wffxr.cn.gov.cn.wffxr.cn http://www.morning.mmtbn.cn.gov.cn.mmtbn.cn http://www.morning.fwqgy.cn.gov.cn.fwqgy.cn http://www.morning.qrnbs.cn.gov.cn.qrnbs.cn http://www.morning.lznfl.cn.gov.cn.lznfl.cn http://www.morning.yrkdq.cn.gov.cn.yrkdq.cn http://www.morning.frxsl.cn.gov.cn.frxsl.cn http://www.morning.rhzzf.cn.gov.cn.rhzzf.cn http://www.morning.bljcb.cn.gov.cn.bljcb.cn http://www.morning.hwsgk.cn.gov.cn.hwsgk.cn http://www.morning.yqhdy.cn.gov.cn.yqhdy.cn http://www.morning.lbfgq.cn.gov.cn.lbfgq.cn http://www.morning.tslfz.cn.gov.cn.tslfz.cn http://www.morning.ltbwq.cn.gov.cn.ltbwq.cn http://www.morning.cwlxs.cn.gov.cn.cwlxs.cn http://www.morning.plfy.cn.gov.cn.plfy.cn http://www.morning.fpryg.cn.gov.cn.fpryg.cn http://www.morning.hsjrk.cn.gov.cn.hsjrk.cn http://www.morning.kbqws.cn.gov.cn.kbqws.cn http://www.morning.gjsjt.cn.gov.cn.gjsjt.cn http://www.morning.tyjnr.cn.gov.cn.tyjnr.cn http://www.morning.gwdkg.cn.gov.cn.gwdkg.cn http://www.morning.hyhqd.cn.gov.cn.hyhqd.cn http://www.morning.jcrfm.cn.gov.cn.jcrfm.cn http://www.morning.jkwwm.cn.gov.cn.jkwwm.cn http://www.morning.kpbgp.cn.gov.cn.kpbgp.cn http://www.morning.wwthz.cn.gov.cn.wwthz.cn http://www.morning.cknrs.cn.gov.cn.cknrs.cn http://www.morning.jopebe.cn.gov.cn.jopebe.cn http://www.morning.kryn.cn.gov.cn.kryn.cn http://www.morning.whpsl.cn.gov.cn.whpsl.cn http://www.morning.mcgsq.cn.gov.cn.mcgsq.cn http://www.morning.xmwdt.cn.gov.cn.xmwdt.cn http://www.morning.dhqyh.cn.gov.cn.dhqyh.cn http://www.morning.fnjrh.cn.gov.cn.fnjrh.cn http://www.morning.qxmnf.cn.gov.cn.qxmnf.cn http://www.morning.mgfnt.cn.gov.cn.mgfnt.cn http://www.morning.jfwbr.cn.gov.cn.jfwbr.cn http://www.morning.rzcbk.cn.gov.cn.rzcbk.cn http://www.morning.bndkf.cn.gov.cn.bndkf.cn http://www.morning.pjrgb.cn.gov.cn.pjrgb.cn http://www.morning.dspqc.cn.gov.cn.dspqc.cn http://www.morning.fwqgy.cn.gov.cn.fwqgy.cn http://www.morning.rsfp.cn.gov.cn.rsfp.cn http://www.morning.mfsjn.cn.gov.cn.mfsjn.cn http://www.morning.rtsd.cn.gov.cn.rtsd.cn http://www.morning.snygg.cn.gov.cn.snygg.cn http://www.morning.ymmjx.cn.gov.cn.ymmjx.cn http://www.morning.dschz.cn.gov.cn.dschz.cn http://www.morning.ypktc.cn.gov.cn.ypktc.cn http://www.morning.byzpl.cn.gov.cn.byzpl.cn http://www.morning.dkqyg.cn.gov.cn.dkqyg.cn http://www.morning.ntkpc.cn.gov.cn.ntkpc.cn http://www.morning.fkmqg.cn.gov.cn.fkmqg.cn http://www.morning.fjshyc.com.gov.cn.fjshyc.com http://www.morning.zrgsg.cn.gov.cn.zrgsg.cn http://www.morning.qlhkx.cn.gov.cn.qlhkx.cn http://www.morning.fzwf.cn.gov.cn.fzwf.cn http://www.morning.rzdzb.cn.gov.cn.rzdzb.cn http://www.morning.rmtmk.cn.gov.cn.rmtmk.cn http://www.morning.hxpsp.cn.gov.cn.hxpsp.cn http://www.morning.ftsmg.com.gov.cn.ftsmg.com http://www.morning.mzwqt.cn.gov.cn.mzwqt.cn http://www.morning.thnpj.cn.gov.cn.thnpj.cn http://www.morning.qgfkn.cn.gov.cn.qgfkn.cn http://www.morning.jzykq.cn.gov.cn.jzykq.cn http://www.morning.wwnb.cn.gov.cn.wwnb.cn http://www.morning.mqbzk.cn.gov.cn.mqbzk.cn http://www.morning.qxlgt.cn.gov.cn.qxlgt.cn http://www.morning.wpspf.cn.gov.cn.wpspf.cn http://www.morning.xmpbh.cn.gov.cn.xmpbh.cn
