文档介绍:tcpdump 的使用
tcpdump 接受命令行方式,它的命令格式为:
tcpdump [ - a d e f l n N O p q S t v x ] [ -c 数量 ]
[ -F 文件名 ]
[ -i 网络接口 ]
[ - 的主机收到的和发出的全部的数据包:
#tcpdump host
(2) 想要截获主机 和主机 或 的通信,使用命令:(。在命令行中使用括号时,肯定要
#tcpdump host and \ ( or \)
假如想要猎取主机 除了和主机 之外全部主机通信的ip 包,使用命令: #tcpdump ip host and !
假如想要猎取主机 接收或发出的 telnet 包,使用如下命令: #tcpdump tcp port 23 host
tcpdump 的输出结果介绍
下面我们介绍几种典型的 tcpdump 命令的输出信息
数据链路层头信息#tcpdump -e host ice
ice 是一台装有 linux 的主机,她的 MAC 地址是 0:90:27:58:AF:1A
H219 是一台装有 SOLARIC 的 SUN 工作站,它的MAC 地址是 8:0:20:79:B:46;上一条命令的输出结果如下所示:
21:50: eth0 < 8:0:20:79:5b:46 0:90:27:58:af:1a ip 60: >
0:0(0) ack 22535 win 8760 (DF)
分析:21:50:12 是显示的时间, 847509 是 ID 号,eth0 <表示从网络接口 eth0 接受该数据包,eth0 >表示从网络接口设备发送数据包, 8:0:20:79:5b:46 是主机 H219 的 MAC 地址,它表明是从源地址 H219 发来的数据包. 0:90:27:58:af:1a 是主机 ICE 的 MAC 地址,表示该数据包的目的地址是 ICE . ip 是表明该数据包是 IP 数据包,60 是数据包的长度, > 表明该数据包是从主机 H219 的 33357 端口发往主机 ICE 的 TELNET(23)端口. ack 22535 表明对序列号是 222535 的包进行响应. win 8760 表明发送窗口的大小是 8760.
ARP 包的 TCPDUMP 输出信息使用命令#tcpdump arp
得到的输出结果是:
22:32: eth0 > arp who-has route tell ice (0:90:27:58:af:1a) 22:32: eth0 < arp reply route is-at 0:90:27:12:10:66 (0:90:27:58:af:1a)
分析: 22:32:42 是时间戳, 802509 是 ID 号, eth0 >表明从主机发出该数据包, arp 表明是ARP 恳求包, who-has route tell ice 表明是主机 ICE 恳求主机ROUTE 的 MAC 地址。0:90:27:58:af:1a 是主机 ICE 的 MAC 地址。
TCP 包的输出信息
用 TCPDUMP 捕获的 TCP 包的一般输出信息是:
src > dst: flags data-seqno ack window urgent options
src > dst:表明从源地址到目的地址, flags 是 TCP 包中的标志信息,S 是 SYN 标志, F (FIN), P (PUSH) , R (RST) “.“ (没有标记); data-seqno 是数据包中的数据的挨次号, ack 是下次期望的挨次号, window 是接收缓存的窗口大小, urgent 表明数据包中是否有紧急指针.
Options 是选项.
UDP 包的输出信息
用 TCPDUMP 捕获的 UDP 包的一般输出信息是: > : udp lenth
UDP 格外简洁,上面的输出行表明从主机 ROUTE 的 port1 端口发出的一个UDP 数据包到主机ICE
的 port2 端口,类型是 UD