爱华网使用命令:
tcpdump -i eth1 -s 0 -C 2 -w jh.cap
-I eth1: 是指定网卡 ,
2 : 是2兆一个文件;
Jh.cap : 是文件名. 后面会跟一个数字自动加1
linux:
tcpdump host 10.164.192.135 –s 5000 -w log // -s 5000 很重要
例:
isap-1-10:~ # tcpdump host 10.71.155.102 -s 0 -w xxx.cap
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes 7 packets captured
14 packets received by filter
0 packets dropped by kernel
tcpdump -i eth2 -s 0 -w 04141401.cap host 10.103.2.174 and port 8886
例
isap-1-10:~ # tcpdump -i eth0 -s 0 -w yyy.cap
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes 218 packets captured
436 packets received by filter
0 packets dropped by kernel
isap-1-10:~ # tcpdump -i eth0 -s 0 -w yyy.cap port 8803
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes 0 packets captured
0 packets received by filter
0 packets dropped by kernel
eth2 是 10.103.2.174 的”网卡名”, 使用 ifconfig 查看
表示抓含有地址为10.164.192.135的包
tcpdump -i eth0 -s 1500 -w a.dmp 这个语句机会可以在任何情况下使用。简单解释一下,-i eth0是在eth0接口上监听, -s 1500是一个很重要的参数,它指抓取的数据包的前1500个字节,否则你可能只能看到数据包的前68个字节,因为tcpdump的默认抓取长度是68,-w a.dmp是表示把抓取的数据写入a.dmp中。抓取介绍后,Ctl+C,你可以看到a.dmp已经生成。然后用sftp传到本机使用Ethereal解析。
tcpdump -i 网卡 -s 5000 -w xx.cap port 端口号
此处网卡必须是 ethx 不能是 ip
要以root 用户操作.
sun:
snoop
snoop -d 网卡名 -xo -ta -o 存放路径/文件名 host or port
(可用 host or port, 也可以是 host and port )
使用 ifconfig –a , 然后根据ip 获得网卡名.
ibm:
iptrace - i en0 -p telnet -s airmail /tmp/telnet.trace
iptrace 0711.trace
0711.trace是文件名
在aix上用了iptrace过后,tcpdump就用不了了,提示:
tcpdump: BIOCSETIF: en1: Do not specify an existing file.
已经kill-9 将iptrace进程杀死。
我曾经看到过一个帖子,说kill-9 iptrace进程后,需运行iptrace -u才能用tcpdump,但是我运行iptrace -u,提示iptrace: Can't turn off tracing
对AIX不熟,哪位大哥帮我看看啊,谢谢
HP-UX
上使用tcpdump抓包的方法!
1.检查是否有tcpdump软件,如果没有则安装tcpdump软件,软件在hpl3000上有
2.抓包
# netstat -in看现在用的是那个网卡,假如用的是lan0
#tcpdump -i lan0 -w /tmp/lan0.tcpdump.log -x -vv 'tcp port 53'
运行一小时后按^C中断
注意:运行过程要监控一下/tmp的使用率,如果/tmp上升得太快则需要马上中断抓包进程。
3.格式化包输出
# tcpdump -nq -r /tmp/lan0.tcpdump.log.bak > /tmp/output.tcpdump.log
然后把/tmp/output.tcpdump.log提供出来就可以
Sun Solaris 补充
在Solaris系统上抓包
Snoop是Solaris系统中自带的工具,是一个用于显示网络通讯的程
序,它可捕获IP 包并将其显示或保存到指定文件。 (限超级用户使用
snoop)
Snoop可将捕获的包以一行的形式加以总结或用多行加以详细的
描述(有调用不同的参数–v -V来实现)。在总结方式下(-V ) ,将仅显
示最高层的相关协议,例如一个NFS 包将仅显示NFS信息,其低层的
RPC、UDP、 IP、Ethernet帧信息将不会显示,但是当加上相应的参
数(-v ),这些信息都能被显示出来。
参数简介:
[ -a ] # Listen to packets on audio
[ -d device ] # settable to le?, ie?, bf?, tr?
[ -s snaplen ] # Truncate packets
[ -c count ] # Quit after count packets
[ -P ] # Turn OFF promiscuous mode
[ -D ] # Report dropped packets
[ -S ] # Report packet size
[ -i file ] # Read previously captured packets
[ -o file ] # Capture packets in file
[ -n file ] # Load addr-to-name table from file
[ -N ] # Create addr-to-name table
[ -t r|a|d ] # Time: Relative, Absolute or Delta
[ -v ] # Verbose packet display
[ -V ] # Show all summary lines
[ -p first[,last] ] # Select packet(s) to display
[ -x offset[,length] ] # Hex dump from offset for length
[ -C ] # Print packet filter code
由于snoop的使用非常灵活,希望能通过下面一些例子的学习来其常见
用法。
1、监听所有以本机为源和目的的包并将其显示出来。
# snoop
2、监听所有以主机A为源和目的的包并将其显示出来(A为主机名, 下
同)。
# snoop A
3、监听所有A和B之间的包并将其保存到文件file。
# snoop -o file A B
4、显示文件file 中指定的包(99-108) 。
# snoop - i file -p 99,108
99 0.0027 boutique -> sunroof NFS C GETATTR FH=8E6C
100 0.0046 sunroof -> boutique NFS R GETATTR OK
101 0.0080 boutique -> sunroof NFS C RENAME FH=8E6C
MTra00192 to .nfs08
102 0.0102 marmot -> viper NFS C LOOKUP FH=561E
screen.r.13.i386
103 0.0072 viper -> marmot NFS R LOOKUP No such file or
directory
104 0.0085 bugbomb -> sunroof RLOGIN C PORT=1023 h
105 0.0005 kandinsky -> sparky RSTAT C Get Statistics
106 0.0004 beeblebrox -> sunroof NFS C GETATTR FH=0307 107 0.0021 sparky -> kandinsky RSTAT R
108 0.0073 office -> jeremiah NFS C READ FH=2584 at 40960 for 8192
5、详细查看文件file中第101个包。
# snoop - i file - v -p101
ETHER: ----- Ether Header -----
ETHER:
ETHER: Packet 101 arrived at 16:09:53.59
ETHER: Packet size = 210 bytes
ETHER: Destination = 8:0:20:1:3d:94, Sun
ETHER: Source = 8:0:69:1:5f:e, Silicon Graphics
ETHER: Ethertype = 0800 (IP)
ETHER:
IP: ----- IP Header -----
IP:
IP: Version = 4, header length = 20 bytes
IP: Type of service = 00
IP: ..0. .... = routine
IP: ...0 .... = normal delay
IP: .... 0... = normal throughput
IP: .... .0.. = normal reliability
IP: Total length = 196 bytes
IP: Identification 19846
IP: Flags = 0X
IP: .0.. .... = may fragment
IP: ..0. .... = more fragments
?
- 3 -
?
6、查看主机A和主机B之间的NFS包(命令中的and 和or 为相应的逻辑
运算)
# snoop - i file rpc nfs and A and B
1 0.0000 A -> B NFS C GETATTR FH=8E6C
2 0.0046 B -> A NFS R GETATTR OK
3 0.0080 A -> B NFS C RENAME FH=8E6C MTra00192 to .nfs08
7、将这些符合条件的包保存到另一文件file2 中:
# snoop - i file -o file2 rpc nfs A B
8、监听主机A和主机B间所有TCP 80 端口或UDP80端口的包 # snoop A and B and (tcp or udp) and port 80
9、监听所有的广播包
# snoop broadcast
Using device /dev/hme (promiscuous mode)
10.10.10.50 -> BROADCAST UDP D=177 S=2541 LEN=35 10.10.10.50 -> BROADCAST UDP D=177 S=2541 LEN=35 10.10.10.50 -> BROADCAST UDP D=177 S=2541 LEN=35
10、监听所有的多播包, 并显示详细内容。
#snoop –v multicast
百度搜索“爱华网”,专业资料,生活学习,尽在爱华网
