La herramienta tcpdump captura -linux

El primer tipo es una palabra clave en, incluyendo anfitrión, red, puerto, por ejemplo anfitrión 210.27.48.2, 210.27.48.2 que indica un anfitrión, 202.0.0.0 red especifica 202,0 .0.0 es una dirección de red y el puerto 23 indica que el número de puerto es 23. Si no se especifica ningún tipo, el tipo predeterminado es host. La segunda es la palabra clave que determina la dirección de la transferencia, incluyendo principalmente src, dst, dst o src, dst y src, que indican la dirección de la transferencia. Por ejemplo, src 210.27.48.2 indica que la dirección de origen en el paquete ip es 210.27.48.2 y dst net 202.0.0.0 indica que la dirección de red de destino es 202.0.0.0. Si no se especifica una palabra clave de dirección, el valor predeterminado es la palabra clave src o dst. El tercer tipo es la palabra clave del protocolo, que incluye principalmente fddi, ip, arp, rarp, tcp, udp, etc. FDDI indicar un protocolo de red particular en el FDDI (Fiber Distributed Data Interface de red), de hecho, es un " éter " alias, FDDI y éter tienen direcciones de origen y de destino similares, por lo que puede ser paquete FDDI protocolo cuando El paquete de éter se procesa y analiza. Las otras pocas palabras clave son el contenido del protocolo que indica el paquete que se está escuchando. Si no se especifica ningún protocolo, tcpdump escuchará los paquetes de todos los protocolos. Además de estos tres tipos de palabras clave, otras palabras clave importantes son las siguientes: puerta de enlace, difusión, menor, mayor y tres operaciones lógicas, la no operación es "no" y "la operación es" y ", '&&'; o la operación es 'o', '││'; estas palabras clave se pueden combinar para formar poderosas condiciones de combinación para satisfacer las necesidades de las personas, como ilustran los siguientes ejemplos. En circunstancias normales, al iniciar tcpdump directamente, se supervisarán todos los paquetes que fluyen a través de la primera interfaz de red. # Tcpdump tcpdump: la escucha en fxp011: 58: 47.873028 202.102.245.40.netbios-NS > 202.102.245.127.netbios-ns: udp 5011: 58: 47.974331 0: 10: 7b: 8: 3a: 56 > 1:80 : c2: 0: 0: 0 802.1d ui /C len = 430 000 0000 0080 0000 1007 0900 cf08 00000e80 0000 902b 4695 0980 8701 0014 0000 0002000f 902b 4695 0008 0011: 58: 48.373134 0: 0: e8: 5b: 6d: 85 > Broadcast savia e0 ui /C len = 97ffff 0060 0004 ffff ffff ffff ffff ffff0452 ffff ffff 0000 e85b 6D85 4008 00020640 4d41 5354 4552 5f57 ​​4542 0000 00000000 00 -i argumento especifica interfaz de red tcpdump de escucha, que tiene una pluralidad de ordenador muy útil cuando interfaz de red, el número de paquetes con el parámetro -c para especificar escuchar, utilice el parámetro -w para especificar los paquetes Overheard escritos en el archivo que desea guardar una gran cantidad 210.27.48.1 intercepta todos los recibidos y enviados todos los paquetes de acogida: #tcpdump 210.27.48.1 B anfitrión 210.27.48.1 desea interceptar comunicaciones y una serie de 210.27.48.3 210.27.48.2 o, en su caso, utilizando los soportes :( comando en la línea de comandos, asegúrese de #tcpdump anfitrión 210.27. 48.1 y \\ (210.27.48.2 o 210.27.48.3 \\) C Si desea obtener el host 210.27.48.1 además del anfitrión y todas las comunicaciones de paquetes IP 210.27.48.2 host externo, utilice el comando :! #Tcpdump host IP 210.27.48.1 y 210.27.48.2D Si desea obtener anfitrión 210.27.48.1 paquete telnet recibido o enviado, con el siguiente comando: el puerto TCP 23 #tcpdump anfitrión 210.27.48.1E de puerto UDP 123 de la máquina 123 para supervisar el # tcpdump puerto UDP puerto de servicio NTP 123 F se llamará solamente Los paquetes de comunicación del host del nombre de host son monitoreados. El nombre del host puede ser el host local o cualquier computadora en la red. Todos los datos siguientes comando de lectura enviados por el nombre de host de destino: #tcpdump -i eth0 src anfitrión hostnameG siguiente comando puede supervisar todos los paquetes de datos al nombre de host de host: #tcpdump -i eth0 DST anfitrión hostnameH también podemos monitor designado por la puerta de enlace paquete: #tcpdump -i eth0 pasarela GatewaynameI si desea supervisar el puerto especificado dirigida a los paquetes TCP o UDP, a continuación, ejecutar el siguiente comando: #tcpdump -i eth0 nombre de host host y el puerto 80J Si desea obtener anfitrión 210.27. 48.1 además del anfitrión y todos los paquetes IP 210.27.48.2 comunicación con el host fuera, utilice el comando: #tcpdump host ip 210.27.48.1 y 210.27.48.2K quieren interceptar las comunicaciones y la máquina host 210.27.48.1 210.27.48.3 210.27.48.2 o! cuando se utiliza el comando :( soportes adecuados en la línea de comandos, asegúrese de #tcpdump anfitrión 210.27.48.1 y \\ (210.27.48.2 210.27.48.3 o \\) L Si desea salir a la calle, además del anfitrión y el anfitrión de 210.27.48.2 210.27.48.1 Para todos los paquetes ip de comunicación del host, use el comando: #tcpdump ip host 210.27.48.1 y! 210.27.48.2M Si desea obtener el host 210.27.48.1 paquete Telnet recibido o enviado utilizando el comando siguiente: #tcpdump puerto TCP 23 anfitrión 210.27.48.1 protocolo de palabra clave tercero, incluyendo FDDI, IP, ARP, RARP, TCP, UDP, etc. Además de los tres tipos de Tipo Además de palabras clave, palabras clave más importantes de la siguiente manera: la puerta de enlace, difusión, menos, mayor, hay tres operaciones lógicas, la operación es la negación 'no' '', la operación es 'y', '&&'!; o la operación es 'o', '| | 'Y el segundo es para determinar la dirección de transmisión de la llave, incluyendo src, dst, dst o src, dst y src, si sólo se necesita a la lista al puerto 80 paquetes con puerto dst; si sólo queremos ver Para devolver el paquete al puerto 80, use el puerto src. #tcpdump y ndash; i eth0 alojo nombre de host y el puerto de destino 80 y el puerto de destino 80 o #tcpdump y ndash; i eth0 alojo nombre de host y src puerto 80 puerto de origen 80 normalmente se proporciona servicio de acogida http si las condiciones son un montón de palabras que se añade antes de la condición y o o o no -i eth0 anfitrión 211.161.223.70 y 211.161.223.71 y DST puerto 80 si utiliza el sistema en modo promiscuo registro ethernet ficha 7 de mayo de 20:03:46 kernel localhost # tcpdump: eth0 !!: modo promiscuo enabled.May 7 20:03:46 localhost núcleo: dispositivo eth0 entró promiscua modeMay 7 20:03:57 localhost núcleo: dispositivo eth0 dejó modetcpdump promiscua interceptado datos no decodificar completamente la mayor parte del paquete de datos utilizando La forma hexadecimal se imprime directamente. Obviamente, esto no es propicio para el análisis de fallo de la red, la solución habitual es usar tcpdump interceptado por los datos de parámetro -w y se guardan en un archivo y, a continuación, utilizar otro programa para decodificar el análisis. Por supuesto, también debe definir reglas de filtrado para evitar que los paquetes capturados llenen todo el disco duro.