安全验证
时间:2023-11-12 03:48:22 下载该word文档
tcpdump的使用tcpdump采用命令行方式,它的命令格式为:tcpdump[-adeflnNOpqStvx][-c数量][-F文件名][-i网络接口][-r文件名][-ssnaplen][-T类型][-w文件名][表达式]描述(DESCRIPTIONTcpdump打印出在某个网络界面上,匹配布尔表达式expression的报头.对于SunOS的nit或bpf界面:要运行tcpdump,你必须有/dev/nit或/dev/bpf*的读访问权限.对于Solaris的dlpi:你必须有网络仿真设备(networkpseudodevice,如/dev/le的读访问权限.对于HP-UX的dlpi:你必须是root,或者把它安装成root的设置uid程序.对于IRIX的snoop:你必须是root,或者把它安装成root的设置uid程序.对于Linux:你必须是root,或者把它安装成root的设置uid程序.对于Ultrix和DigitalUNIX:一旦超级用户使用pfconfig(8开放了promiscuous操作模式(promiscuous-mode,任何用户都可以运行tcpdump.对于BSD:你必须有/dev/bpf*的读访问权限.1.tcpdump的选项介绍>>>>>参数-a-d-dd-ddd-e-f-l-n-t-v-vv-c-F-i-r-w介绍将网络地址和广播地址转变成名字将匹配信息包的代码以人们能够理解的汇编格式给出将匹配信息包的代码以c语言程序段的格式给出将匹配信息包的代码以十进制的形式给出在输出行打印出数据链路层的头部信息将外部的Internet地址以数字的形式打印出来使标准输出变为缓冲行形式不把网络地址转换成名字在输出的每一行不打印时间戳输出一个稍微详细的信息,例如在ip包中可以包括ttl和服务类型的信息输出详细的报文信息在收到指定的包的数目后,tcpdump就会停止从指定的文件中读取表达式,忽略其它的表达式指定监听的网络接口从指定的文件中读取包(这些包一般通过-w选项产生直接将包写入文件中,并不分析和打印出来
>>>>>-T将监听到的包直接解释为指定的类型的报文,常见的类型有rpc(远程过程调用)和snmp(简单网络管理协议;)2.tcpdump的表达式介绍表达式是一个正则表达式,tcpdump利用它作为过滤报文的条件,如果一个报文满足表达式的条件,则这个报文将会被捕获。如果没有给出任何条件,则网络上所有的信息包将会被截获。在表达式中一般如下几种类型的关键字,一种是关于类型的关键字,主要包括host,net,port,例如host210.27.48.2,指明210.27.48.2是一台主机,net202.0.0.0