Linux网络协议分析工具tcpdump和tshark用法
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Linux网络协议分析工具tcpdump和tshark用法Tcpdump是网络协议分析的基本工具。tshark是大名鼎鼎的开源网络协议分析工具wireshark(原名叫ethereal)的命令行版本,wireshark 可对多达千余种网络协议进行解码分析。Wireshark和tcpdump均使用libpcap库(参见libpcap编程教程)进行网络截包。TCPDUMP 详细manpage参见tcpdump网站。基本用法Tcpdump的参数基本分为两块:选项(options)和过滤器表达式(filter_expression)Tcpdump是网络协议分析的基本工具。tshark是大名鼎鼎的开源网络协议分析wireshark(原名叫ethereal)的命令行版本,wireshark可对多达千余种网络协议进行解码分析。Wireshark和tcpdump均使用libpcap库(参见libpcap编程教程)进行网络截包。
TCPDUMP
详细manpage参见tcpdump网站。
基本用法
Tcpdump的参数基本分为两块:选项(options)和过滤器表达式(filter_expression)。
# tcpdump [options] [filter_expression]
例如
# tcpdump -c 100 -i eth0 -w log tcpdst port 50000
其中options部分参数:
-c 100 指定截取的包的数量
-i eth0 指定监听哪个网络端口
-w log 输出到名为log的文件中(libpcap格式)
filter_expression参数为tcpdst port 50000,即只监听目标端口为50000的tcp包。
更多的例子:
/* 监视目标地址为除内网地址(192.168.3.1-192.168.3.254)之外的流量*/
# tcpdumpdst net not 192.168.3.0/24
/*
监视除HTTP浏览(端口80/8080)、SSH(22)、POP3(110)之外的流量,注意在括号(之前添加转义符\, -n和-nn的解释见随后
*/
# tcpdump -n -nn port not \(www or 22 or 110\)
或
# tcpdump -n -nn port ! \(www or 22 or 110\)
/* 监视源主机MAC地址为00:50:04:BA: 9B的包*/
# tcpdump ether src 00:50:04:BA: 9B
/* 监视源主机为192.168.0.1并且目的端口不是telnet的包*/
# tcpdumpsrc host 192.168.0.1 and dst port not telnet
ipicmparprarp和tcp、udp、icmp这些选项等都要放到第一个参数的位置,用来过滤数据报的类型。例如:
# tcpdumpipsrc…… //只过滤数据-链路层上的IP报头
# tcpdumpudp and src host 192.168.0.1 //只过滤源主机192.168.0.1的所有udp报头
TcpDump提供了很多options参数来让我们选择如何处理得到的数据,如下所示:
-l 将数据重定向。如tcpdump -l > tcpcap.txt将得到的数据存入tcpcap.txt文件中。
-n 不进行IP地址到主机名的转换。如果不使用这一项,当系统中存在某一主机的主机名时,TcpDump会把IP地址转换为主机名显示,就像这样:eth0 <ntc9.1165>.telnet,使用-n后变成了:eth0 <192.168.0.9.1165 >192.168.0.1.telnet。
-nn不进行端口名称的转换。上面这条信息使用-nn后就变成了:eth0 <ntc9.1165 >.23。
-N 不打印出默认的域名。还是这条信息-N 后就是:eth0 <ntc9.1165 >router.telnet。
-O 不进行匹配代码的优化。
-t 不打印UNIX时间戳,也就是不显示时间。
-tt打印原始的、未格式化过的时间。
-v 详细的输出,也就比普通的多了个TTL和服务类型。
参数详解
tcpdump采用命令行方式,它的命令格式为:
tcpdump [ -adeflnNOpqStvx ] [ -c 数量] [ -F 文件名]
[ -i 网络接口] [ -r 文件名] [ -s snaplen ]
[ -T 类型] [ -w 文件名] [表达式]
-a 将网络地址和广播地址转变成名字;
-d 将匹配信息包的代码以人们能够理解的汇编格式给出;
-dd将匹配信息包的代码以c语言程序段的格式给出;
-ddd将匹配信息包的代码以十进制的形式给出;
-e 在输出行打印出数据链路层的头部信息;
-f 将外部的Internet地址以数字的形式打印出来;
-l 使标准输出变为缓冲行形式;
-n 不把网络地址转换成名字;
-t 在输出的每一行不打印时间戳;
-v 输出一个稍微详细的信息,例如在ip包中可以包括ttl和服务类型的信息;
-vv输出详细的报文信息;
-c 在收到指定的包的数目后,tcpdump就会停止;
-F 从指定的文件中读取表达式,忽略其它的表达式;
-i 指定监听的网络接口;
-r 从指定的文件中读取包(这些包一般通过-w选项产生);
-w 直接将包写入文件中,并不分析和打印出来;
-T 将监听到的包直接解释为指定的类型的报文,常见的类型有rpc(远程过程
调用)和snmp(简单网络管理协议;)
tcpdump的表达式介绍