詞語解釋
TCPDump是一款網(wǎng)絡分析軟件,它可以抓取網(wǎng)絡上的數(shù)據(jù)包,并將其解析成易于理解的格式,以便用戶更好地了解網(wǎng)絡的狀態(tài)。它是一個網(wǎng)絡分析工具,用于抓取網(wǎng)絡上的數(shù)據(jù)包,并將其解析成易于理解的格式,以便用戶更好地了解網(wǎng)絡的狀態(tài)。 TCPDump的主要用途是抓取網(wǎng)絡上的數(shù)據(jù)包,并將其解析成易于理解的格式,以便用戶更好地了解網(wǎng)絡的狀態(tài)。它可以用來檢查網(wǎng)絡數(shù)據(jù)包的內(nèi)容,查看網(wǎng)絡數(shù)據(jù)包的源和目的地,檢查網(wǎng)絡數(shù)據(jù)包的大小,檢查網(wǎng)絡數(shù)據(jù)包的類型,檢查網(wǎng)絡數(shù)據(jù)包的時間戳,檢查網(wǎng)絡數(shù)據(jù)包的協(xié)議類型,以及檢查網(wǎng)絡數(shù)據(jù)包的其他屬性。 TCPDump可以用來診斷網(wǎng)絡問題,如檢查網(wǎng)絡連接是否正常,檢查網(wǎng)絡性能,檢查網(wǎng)絡安全性,檢查網(wǎng)絡數(shù)據(jù)包的丟失等。此外,TCPDump還可以用于網(wǎng)絡審計,監(jiān)控網(wǎng)絡流量,檢測網(wǎng)絡入侵,網(wǎng)絡安全分析等。 總之,TCPDump是一款網(wǎng)絡分析軟件,它可以抓取網(wǎng)絡上的數(shù)據(jù)包,并將其解析成易于理解的格式,以便用戶更好地了解網(wǎng)絡的狀態(tài),并可以用來診斷網(wǎng)絡問題,如檢查網(wǎng)絡連接是否正常,檢查網(wǎng)絡性能,檢查網(wǎng)絡安全性,檢查網(wǎng)絡數(shù)據(jù)包的丟失等,以及用于網(wǎng)絡審計,監(jiān)控網(wǎng)絡流量,檢測網(wǎng)絡入侵,網(wǎng)絡安全分析等。 TcpDump可以將網(wǎng)絡中傳送的數(shù)據(jù)包的“頭”完全截獲下來提供分析。它支持針對網(wǎng)絡層、協(xié)議、主機、網(wǎng)絡或端口的過濾,并提供and、or、not等邏輯語句來幫助你去掉無用的信息。 TCPDUMP簡介 在傳統(tǒng)的網(wǎng)絡分析和測試技術中,嗅探器(sniffer)是最常見,也是最重要的技術之一。sniffer工具首先是為網(wǎng)絡管理員和網(wǎng)絡程序員進行網(wǎng)絡分析而設計的。對于網(wǎng)絡管理人員來說,使用嗅探器可以隨時掌握網(wǎng)絡的實際情況,在網(wǎng)絡性能急劇下降的時候,可以通過sniffer工具來分析原因,找出造成網(wǎng)絡阻塞的來源。對于網(wǎng)絡程序員來說,通過sniffer工具來調(diào)試程序。 用過windows平臺上的sniffer工具(例如,netxray和sniffer pro軟件)的朋友可能都知道,在共享式的局域網(wǎng)中,采用sniffer工具簡直可以對網(wǎng)絡中的所有流量一覽無余!Sniffer工具實際上就是一個網(wǎng)絡上的抓包工具,同時還可以對抓到的包進行分析。由于在共享式的網(wǎng)絡中,信息包是會廣播到網(wǎng)絡中所有主機的網(wǎng)絡接口,只不過在沒有使用sniffer工具之前,主機的網(wǎng)絡設備會判斷該信息包是否應該接收,這樣它就會拋棄不應該接收的信息包,sniffer工具卻使主機的網(wǎng)絡設備接收所有到達的信息包,這樣就達到了網(wǎng)絡監(jiān)聽的效果。 Linux作為網(wǎng)絡服務器,特別是作為路由器和網(wǎng)關時,數(shù)據(jù)的采集和分析是必不可少的。所以,今天我們就來看看Linux中強大的網(wǎng)絡數(shù)據(jù)采集分析工具——TcpDump。 用簡單的話來定義tcpdump,就是:dump the traffice on a network,根據(jù)使用者的定義對網(wǎng)絡上的數(shù)據(jù)包進行截獲的包分析工具。 作為互聯(lián)網(wǎng)上經(jīng)典的的系統(tǒng)管理員必備工具,tcpdump以其強大的功能,靈活的截取策略,成為每個高級的系統(tǒng)管理員分析網(wǎng)絡,排查問題等所必備的東東之一。 顧名思義,TcpDump可以將網(wǎng)絡中傳送的數(shù)據(jù)包的“頭”完全截獲下來提供分析。它支持針對網(wǎng)絡層、協(xié)議、主機、網(wǎng)絡或端口的過濾,并提供and、or、not等邏輯語句來幫助你去掉無用的信息。 tcpdump提供了源代碼,公開了接口,因此具備很強的可擴展性,對于網(wǎng)絡維護和入侵者都是非常有用的工具。tcpdump存在于基本的 FreeBSD系統(tǒng)中,由于它需要將網(wǎng)絡界面設置為混雜模式,普通用戶不能正常執(zhí)行,但具備root權限的用戶可以直接執(zhí)行它來獲取網(wǎng)絡上的信息。因此系統(tǒng)中存在網(wǎng)絡分析工具主要不是對本機安全的威脅,而是對網(wǎng)絡上的其他計算機的安全存在威脅。 普通情況下,直接啟動tcpdump將監(jiān)視第一個網(wǎng)絡界面上所有流過的數(shù)據(jù)包。 。 bash-2.02# tcpdump tcpdump: listening on eth0 11:58:47.873028 202.102.245.40.netbios-ns > 202.102.245.127.netbios-ns: udp 50 11:58:47.974331 0:10:7b:8:3a:56 > 1:80:c2:0:0:0 802.1d ui/C len=43 0000 0000 0080 0000 1007 cf08 0900 0000 0e80 0000 902b 4695 0980 8701 0014 0002 000f 0000 902b 4695 0008 00 11:58:48.373134 0:0:e8:5b:6d:85 > Broadcast sap e0 ui/C len=97 ffff 0060 0004 ffff ffff ffff ffff ffff 0452 ffff ffff 0000 e85b 6d85 4008 0002 0640 4d41 5354 4552 5f57 4542 0000 0000 0000 00 ^C 。 首先我們注意一下,從上面的輸出結果上可以看出來,基本上tcpdump總的的輸出格式為:系統(tǒng)時間 來源主機.端口 > 目標主機.端口 數(shù)據(jù)包參數(shù) TcpDump的參數(shù)化支持 tcpdump支持相當多的不同參數(shù),如使用-i參數(shù)指定tcpdump監(jiān)聽的網(wǎng)絡界面,這在計算機具有多個網(wǎng)絡界面時非常有用,使用-c參數(shù)指定要監(jiān)聽的數(shù)據(jù)包數(shù)量,使用-w參數(shù)指定將監(jiān)聽到的數(shù)據(jù)包寫入文件中保存,等等。 然而更復雜的tcpdump參數(shù)是用于過濾目的,這是因為網(wǎng)絡中流量很大,如果不加分辨將所有的數(shù)據(jù)包都截留下來,數(shù)據(jù)量太大,反而不容易發(fā)現(xiàn)需要的數(shù)據(jù)包。使用這些參數(shù)定義的過濾規(guī)則可以截留特定的數(shù)據(jù)包,以縮小目標,才能更好的分析網(wǎng)絡中存在的問題。tcpdump使用參數(shù)指定要監(jiān)視數(shù)據(jù)包的類型、地址、端口等,根據(jù)具體的網(wǎng)絡問題,充分利用這些過濾規(guī)則就能達到迅速定位故障的目的。請使用man tcpdump查看這些過濾規(guī)則的具體用法。 顯然為了安全起見,不用作網(wǎng)絡管理用途的計算機上不應該運行這一類的網(wǎng)絡分析軟件,為了屏蔽它們,可以屏蔽內(nèi)核中的bpfilter偽設備。一般情況下網(wǎng)絡硬件和TCP/IP堆棧不支持接收或發(fā)送與本計算機無關的數(shù)據(jù)包,為了接收這些數(shù)據(jù)包,就必須使用網(wǎng)卡的混雜模式,并繞過標準的TCP/IP 堆棧才行。在FreeBSD下,這就需要內(nèi)核支持偽設備bpfilter。因此,在內(nèi)核中取消bpfilter支持,就能屏蔽tcpdump之類的網(wǎng)絡分析工具。 并且當網(wǎng)卡被設置為混雜模式時,系統(tǒng)會在控制臺和日志文件中留下記錄,提醒管理員留意這臺系統(tǒng)是否被用作攻擊同網(wǎng)絡的其他計算機的跳板。 May 15 16:27:20 host1 /kernel: fxp0: promiscuous mode enabled 雖然網(wǎng)絡分析工具能將網(wǎng)絡中傳送的數(shù)據(jù)記錄下來,但是網(wǎng)絡中的數(shù)據(jù)流量相當大,如何對這些數(shù)據(jù)進行分析、分類統(tǒng)計、發(fā)現(xiàn)并報告錯誤卻是更關鍵的問題。網(wǎng)絡中的數(shù)據(jù)包屬于不同的協(xié)議,而不同協(xié)議數(shù)據(jù)包的格式也不同。因此對捕獲的數(shù)據(jù)進行解碼,將包中的信息盡可能的展示出來,對于協(xié)議分析工具來講更為重要。昂貴的商業(yè)分析工具的優(yōu)勢就在于它們能支持很多種類的應用層協(xié)議,而不僅僅只支持tcp、udp等低層協(xié)議。 從上面tcpdump的輸出可以看出,tcpdump對截獲的數(shù)據(jù)并沒有進行徹底解碼,數(shù)據(jù)包內(nèi)的大部分內(nèi)容是使用十六進制的形式直接打印輸出的。顯然這不利于分析網(wǎng)絡故障,通常的解決辦法是先使用帶-w參數(shù)的tcpdump 截獲數(shù)據(jù)并保存到文件中,然后再使用其他程序進行解碼分析。當然也應該定義過濾規(guī)則,以避免捕獲的數(shù)據(jù)包填滿整個硬盤。 TCP功能 數(shù)據(jù)過濾 不帶任何參數(shù)的TcpDump將搜索系統(tǒng)中所有的網(wǎng)絡接口,并顯示它截獲的所有數(shù)據(jù),這些數(shù)據(jù)對我們不一定全都需要,而且數(shù)據(jù)太多不利于分析。所以,我們應當先想好需要哪些數(shù)據(jù),TcpDump提供以下參數(shù)供我們選擇數(shù)據(jù): -b 在數(shù)據(jù)-鏈路層上選擇協(xié)議,包括ip、arp、rarp、ipx都是這一層的。 例如:tcpdump -b arp 將只顯示網(wǎng)絡中的arp即地址轉(zhuǎn)換協(xié)議信息。 -i 選擇過濾的網(wǎng)絡接口,如果是作為路由器至少有兩個網(wǎng)絡接口,通過這個選項,就可以只過濾指定的接口上通過的數(shù)據(jù)。例如: tcpdump -i eth0 只顯示通過eth0接口上的所有報頭。 src、dst、port、host、net、ether、gateway這幾個選項又分別包含src、dst 、port、host、net、ehost等附加選項。他們用來分辨數(shù)據(jù)包的來源和去向,src host 192.168.0.1指定源主機IP地址是192.168.0.1,dst net 192.168.0.0/24指定目標是網(wǎng)絡192.168.0.0。以此類推,host是與其指定主機相關無論它是源還是目的,net是與其指定網(wǎng)絡相關的,ether后面跟的不是IP地址而是物理地址,而gateway則用于網(wǎng)關主機?赡苡悬c復雜,看下面例子就知道了: tcpdump src host 192.168.0.1 and dst net 192.168.0.0/24 過濾的是源主機為192.168.0.1與目的網(wǎng)絡為192.168.0.0的報頭。 tcpdump ether src 00:50:04:BA:9B and dst…… 過濾源主機物理地址為XXX的報頭(為什么ether src后面沒有host或者net?物理地址當然不可能有網(wǎng)絡嘍)。 Tcpdump src host 192.168.0.1 and dst port not telnet 過濾源主機192.168.0.1和目的端口不是telnet的報頭。 ip icmp arp rarp 和 tcp、udp、icmp這些選項等都要放到第一個參數(shù)的位置,用來過濾數(shù)據(jù)報的類型。 例如: tcpdump ip src…… 只過濾數(shù)據(jù)-鏈路層上的IP報頭。 tcpdump udp and src host 192.168.0.1 只過濾源主機192.168.0.1的所有udp報頭。 數(shù)據(jù)顯示/輸入輸出 TcpDump提供了足夠的參數(shù)來讓我們選擇如何處理得到的數(shù)據(jù),如下所示: -l 可以將數(shù)據(jù)重定向。 如tcpdump -l >tcpcap.txt將得到的數(shù)據(jù)存入tcpcap.txt文件中。 -n 不進行IP地址到主機名的轉(zhuǎn)換。 如果不使用這一項,當系統(tǒng)中存在某一主機的主機名時,TcpDump會把IP地址轉(zhuǎn)換為主機名顯示,就像這樣:eth0 < ntc9.1165> router.domain.net.telnet,使用-n后變成了:eth0 < 192.168.0.9.1165 > 192.168.0.1.telnet。 -nn 不進行端口名稱的轉(zhuǎn)換。 上面這條信息使用-nn后就變成了:eth0 < ntc9.1165 > router.domain.net.23。 -N 不打印出默認的域名。 還是這條信息-N 后就是:eth0 < ntc9.1165 > router.telnet。 -O 不進行匹配代碼的優(yōu)化。 -t 不打印UNIX時間戳,也就是不顯示時間。 -tt 打印原始的、未格式化過的時間。 -v 詳細的輸出,也就比普通的多了個TTL和服務類型
TcpDump可以將網(wǎng)絡中傳送的數(shù)據(jù)包的“頭”完全截獲下來提供分析。它支持針對網(wǎng)絡層、協(xié)議、主機、網(wǎng)絡或端口的過濾,并提供and、or、not等邏輯語句來幫助你去掉無用的信息。 TCPDUMP簡介 在傳統(tǒng)的網(wǎng)絡分析和測試技術中,嗅探器(sniffer)是最常見,也是最重要的技術之一。sniffer工具首先是為網(wǎng)絡管理員和網(wǎng)絡程序員進行網(wǎng)絡分析而設計的。對于網(wǎng)絡管理人員來說,使用嗅探器可以隨時掌握網(wǎng)絡的實際情況,在網(wǎng)絡性能急劇下降的時候,可以通過sniffer工具來分析原因,找出造成網(wǎng)絡阻塞的來源。對于網(wǎng)絡程序員來說,通過sniffer工具來調(diào)試程序。 用過windows平臺上的sniffer工具(例如,netxray和sniffer pro軟件)的朋友可能都知道,在共享式的局域網(wǎng)中,采用sniffer工具簡直可以對網(wǎng)絡中的所有流量一覽無余!Sniffer工具實際上就是一個網(wǎng)絡上的抓包工具,同時還可以對抓到的包進行分析。由于在共享式的網(wǎng)絡中,信息包是會廣播到網(wǎng)絡中所有主機的網(wǎng)絡接口,只不過在沒有使用sniffer工具之前,主機的網(wǎng)絡設備會判斷該信息包是否應該接收,這樣它就會拋棄不應該接收的信息包,sniffer工具卻使主機的網(wǎng)絡設備接收所有到達的信息包,這樣就達到了網(wǎng)絡監(jiān)聽的效果。 Linux作為網(wǎng)絡服務器,特別是作為路由器和網(wǎng)關時,數(shù)據(jù)的采集和分析是必不可少的。所以,今天我們就來看看Linux中強大的網(wǎng)絡數(shù)據(jù)采集分析工具——TcpDump。 用簡單的話來定義tcpdump,就是:dump the traffice on a network,根據(jù)使用者的定義對網(wǎng)絡上的數(shù)據(jù)包進行截獲的包分析工具。 作為互聯(lián)網(wǎng)上經(jīng)典的的系統(tǒng)管理員必備工具,tcpdump以其強大的功能,靈活的截取策略,成為每個高級的系統(tǒng)管理員分析網(wǎng)絡,排查問題等所必備的東東之一。 顧名思義,TcpDump可以將網(wǎng)絡中傳送的數(shù)據(jù)包的“頭”完全截獲下來提供分析。它支持針對網(wǎng)絡層、協(xié)議、主機、網(wǎng)絡或端口的過濾,并提供and、or、not等邏輯語句來幫助你去掉無用的信息。 tcpdump提供了源代碼,公開了接口,因此具備很強的可擴展性,對于網(wǎng)絡維護和入侵者都是非常有用的工具。tcpdump存在于基本的 FreeBSD系統(tǒng)中,由于它需要將網(wǎng)絡界面設置為混雜模式,普通用戶不能正常執(zhí)行,但具備root權限的用戶可以直接執(zhí)行它來獲取網(wǎng)絡上的信息。因此系統(tǒng)中存在網(wǎng)絡分析工具主要不是對本機安全的威脅,而是對網(wǎng)絡上的其他計算機的安全存在威脅。 普通情況下,直接啟動tcpdump將監(jiān)視第一個網(wǎng)絡界面上所有流過的數(shù)據(jù)包。 。 bash-2.02# tcpdump tcpdump: listening on eth0 11:58:47.873028 202.102.245.40.netbios-ns > 202.102.245.127.netbios-ns: udp 50 11:58:47.974331 0:10:7b:8:3a:56 > 1:80:c2:0:0:0 802.1d ui/C len=43 0000 0000 0080 0000 1007 cf08 0900 0000 0e80 0000 902b 4695 0980 8701 0014 0002 000f 0000 902b 4695 0008 00 11:58:48.373134 0:0:e8:5b:6d:85 > Broadcast sap e0 ui/C len=97 ffff 0060 0004 ffff ffff ffff ffff ffff 0452 ffff ffff 0000 e85b 6d85 4008 0002 0640 4d41 5354 4552 5f57 4542 0000 0000 0000 00 ^C 。 首先我們注意一下,從上面的輸出結果上可以看出來,基本上tcpdump總的的輸出格式為:系統(tǒng)時間 來源主機.端口 > 目標主機.端口 數(shù)據(jù)包參數(shù) TcpDump的參數(shù)化支持 tcpdump支持相當多的不同參數(shù),如使用-i參數(shù)指定tcpdump監(jiān)聽的網(wǎng)絡界面,這在計算機具有多個網(wǎng)絡界面時非常有用,使用-c參數(shù)指定要監(jiān)聽的數(shù)據(jù)包數(shù)量,使用-w參數(shù)指定將監(jiān)聽到的數(shù)據(jù)包寫入文件中保存,等等。 然而更復雜的tcpdump參數(shù)是用于過濾目的,這是因為網(wǎng)絡中流量很大,如果不加分辨將所有的數(shù)據(jù)包都截留下來,數(shù)據(jù)量太大,反而不容易發(fā)現(xiàn)需要的數(shù)據(jù)包。使用這些參數(shù)定義的過濾規(guī)則可以截留特定的數(shù)據(jù)包,以縮小目標,才能更好的分析網(wǎng)絡中存在的問題。tcpdump使用參數(shù)指定要監(jiān)視數(shù)據(jù)包的類型、地址、端口等,根據(jù)具體的網(wǎng)絡問題,充分利用這些過濾規(guī)則就能達到迅速定位故障的目的。請使用man tcpdump查看這些過濾規(guī)則的具體用法。 顯然為了安全起見,不用作網(wǎng)絡管理用途的計算機上不應該運行這一類的網(wǎng)絡分析軟件,為了屏蔽它們,可以屏蔽內(nèi)核中的bpfilter偽設備。一般情況下網(wǎng)絡硬件和TCP/IP堆棧不支持接收或發(fā)送與本計算機無關的數(shù)據(jù)包,為了接收這些數(shù)據(jù)包,就必須使用網(wǎng)卡的混雜模式,并繞過標準的TCP/IP 堆棧才行。在FreeBSD下,這就需要內(nèi)核支持偽設備bpfilter。因此,在內(nèi)核中取消bpfilter支持,就能屏蔽tcpdump之類的網(wǎng)絡分析工具。 并且當網(wǎng)卡被設置為混雜模式時,系統(tǒng)會在控制臺和日志文件中留下記錄,提醒管理員留意這臺系統(tǒng)是否被用作攻擊同網(wǎng)絡的其他計算機的跳板。 May 15 16:27:20 host1 /kernel: fxp0: promiscuous mode enabled 雖然網(wǎng)絡分析工具能將網(wǎng)絡中傳送的數(shù)據(jù)記錄下來,但是網(wǎng)絡中的數(shù)據(jù)流量相當大,如何對這些數(shù)據(jù)進行分析、分類統(tǒng)計、發(fā)現(xiàn)并報告錯誤卻是更關鍵的問題。網(wǎng)絡中的數(shù)據(jù)包屬于不同的協(xié)議,而不同協(xié)議數(shù)據(jù)包的格式也不同。因此對捕獲的數(shù)據(jù)進行解碼,將包中的信息盡可能的展示出來,對于協(xié)議分析工具來講更為重要。昂貴的商業(yè)分析工具的優(yōu)勢就在于它們能支持很多種類的應用層協(xié)議,而不僅僅只支持tcp、udp等低層協(xié)議。 從上面tcpdump的輸出可以看出,tcpdump對截獲的數(shù)據(jù)并沒有進行徹底解碼,數(shù)據(jù)包內(nèi)的大部分內(nèi)容是使用十六進制的形式直接打印輸出的。顯然這不利于分析網(wǎng)絡故障,通常的解決辦法是先使用帶-w參數(shù)的tcpdump 截獲數(shù)據(jù)并保存到文件中,然后再使用其他程序進行解碼分析。當然也應該定義過濾規(guī)則,以避免捕獲的數(shù)據(jù)包填滿整個硬盤。 TCP功能 數(shù)據(jù)過濾 不帶任何參數(shù)的TcpDump將搜索系統(tǒng)中所有的網(wǎng)絡接口,并顯示它截獲的所有數(shù)據(jù),這些數(shù)據(jù)對我們不一定全都需要,而且數(shù)據(jù)太多不利于分析。所以,我們應當先想好需要哪些數(shù)據(jù),TcpDump提供以下參數(shù)供我們選擇數(shù)據(jù): -b 在數(shù)據(jù)-鏈路層上選擇協(xié)議,包括ip、arp、rarp、ipx都是這一層的。 例如:tcpdump -b arp 將只顯示網(wǎng)絡中的arp即地址轉(zhuǎn)換協(xié)議信息。 -i 選擇過濾的網(wǎng)絡接口,如果是作為路由器至少有兩個網(wǎng)絡接口,通過這個選項,就可以只過濾指定的接口上通過的數(shù)據(jù)。例如: tcpdump -i eth0 只顯示通過eth0接口上的所有報頭。 src、dst、port、host、net、ether、gateway這幾個選項又分別包含src、dst 、port、host、net、ehost等附加選項。他們用來分辨數(shù)據(jù)包的來源和去向,src host 192.168.0.1指定源主機IP地址是192.168.0.1,dst net 192.168.0.0/24指定目標是網(wǎng)絡192.168.0.0。以此類推,host是與其指定主機相關無論它是源還是目的,net是與其指定網(wǎng)絡相關的,ether后面跟的不是IP地址而是物理地址,而gateway則用于網(wǎng)關主機?赡苡悬c復雜,看下面例子就知道了: tcpdump src host 192.168.0.1 and dst net 192.168.0.0/24 過濾的是源主機為192.168.0.1與目的網(wǎng)絡為192.168.0.0的報頭。 tcpdump ether src 00:50:04:BA:9B and dst…… 過濾源主機物理地址為XXX的報頭(為什么ether src后面沒有host或者net?物理地址當然不可能有網(wǎng)絡嘍)。 Tcpdump src host 192.168.0.1 and dst port not telnet 過濾源主機192.168.0.1和目的端口不是telnet的報頭。 ip icmp arp rarp 和 tcp、udp、icmp這些選項等都要放到第一個參數(shù)的位置,用來過濾數(shù)據(jù)報的類型。 例如: tcpdump ip src…… 只過濾數(shù)據(jù)-鏈路層上的IP報頭。 tcpdump udp and src host 192.168.0.1 只過濾源主機192.168.0.1的所有udp報頭。 數(shù)據(jù)顯示/輸入輸出 TcpDump提供了足夠的參數(shù)來讓我們選擇如何處理得到的數(shù)據(jù),如下所示: -l 可以將數(shù)據(jù)重定向。 如tcpdump -l >tcpcap.txt將得到的數(shù)據(jù)存入tcpcap.txt文件中。 -n 不進行IP地址到主機名的轉(zhuǎn)換。 如果不使用這一項,當系統(tǒng)中存在某一主機的主機名時,TcpDump會把IP地址轉(zhuǎn)換為主機名顯示,就像這樣:eth0 < ntc9.1165> router.domain.net.telnet,使用-n后變成了:eth0 < 192.168.0.9.1165 > 192.168.0.1.telnet。 -nn 不進行端口名稱的轉(zhuǎn)換。 上面這條信息使用-nn后就變成了:eth0 < ntc9.1165 > router.domain.net.23。 -N 不打印出默認的域名。 還是這條信息-N 后就是:eth0 < ntc9.1165 > router.telnet。 -O 不進行匹配代碼的優(yōu)化。 -t 不打印UNIX時間戳,也就是不顯示時間。 -tt 打印原始的、未格式化過的時間。 -v 詳細的輸出,也就比普通的多了個TTL和服務類型
抱歉,此頁面的內(nèi)容受版權保護,復制需扣除次數(shù),次數(shù)不足時需付費購買。
如需下載請點擊:點擊此處下載
掃碼付費即可復制
村通工程 | ROADM | 亞馬遜 | 網(wǎng)絡營銷 | gps | ATM交換機 | 轉(zhuǎn)換器 | 數(shù)字傳輸 | 微波傳輸 | 雙邊帶調(diào)制 | HRDS | 消光比 |
移動通信網(wǎng) | 通信人才網(wǎng) | 更新日志 | 團隊博客 | 免責聲明 | 關于詞典 | 幫助