各个OS下抓包方法.doc_第1页
各个OS下抓包方法.doc_第2页
各个OS下抓包方法.doc_第3页
各个OS下抓包方法.doc_第4页
各个OS下抓包方法.doc_第5页
全文预览已结束

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

使用命令:tcpdump -i eth1 -s 0 -C 2 -w jh.cap-I eth1: 是指定网卡 ,2 : 是2兆一个文件;Jh.cap : 是文件名. 后面会跟一个数字自动加1linux: tcpdump host 35 s 5000 -w log / -s 5000 很重要例:isap-1-10: # tcpdump host 02 -s 0 -w xxx.captcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes7 packets captured14 packets received by filter0 packets dropped by kerneltcpdump -i eth2 -s 0 -w 04141401.cap host 74 and port 8886例isap-1-10: # tcpdump -i eth0 -s 0 -w yyy.captcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes218 packets captured436 packets received by filter0 packets dropped by kernelisap-1-10: # tcpdump -i eth0 -s 0 -w yyy.cap port 8803tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes0 packets captured0 packets received by filter0 packets dropped by kerneleth2 是 74 的”网卡名”, 使用 ifconfig 查看表示抓含有地址为35的包tcpdump -i eth0 -s 1500 -w a.dmp 这个语句机会可以在任何情况下使用。简单解释一下,-i eth0是在eth0接口上监听, -s 1500是一个很重要的参数,它指抓取的数据包的前1500个字节,否则你可能只能看到数据包的前68个字节,因为tcpdump的默认抓取长度是68,w a.dmp是表示把抓取的数据写入a.dmp中。抓取介绍后,CtlC,你可以看到a.dmp已经生成。然后用sftp传到本机使用Ethereal解析。tcpdump -i 网卡 -s 5000 -w xx.cap port 端口号此处网卡必须是 ethx 不能是 ip要以root 用户操作. sun: snoopsnoop -d 网卡名 -xo -ta -o 存放路径/文件名 host or port(可用 host or port, 也可以是 host and port )使用 ifconfig a , 然后根据ip 获得网卡名.ibm:iptrace - i en0 -p telnet -s airmail /tmp/telnet.traceiptrace 0711.trace0711.trace是文件名在aix上用了iptrace过后,tcpdump就用不了了,提示:tcpdump: BIOCSETIF: en1: Do not specify an existing file.已经kill-9 将iptrace进程杀死。我曾经看到过一个帖子,说kill-9 iptrace进程后,需运行iptrace -u才能用tcpdump,但是我运行iptrace -u,提示iptrace: Cant turn off tracing对AIX不熟,哪位大哥帮我看看啊,谢谢HP-UX上使用tcpdump抓包的方法!1.检查是否有tcpdump软件,如果没有则安装tcpdump软件,软件在hpl3000上有2.抓包# netstat -in看现在用的是那个网卡,假如用的是lan0#tcpdump -i lan0 -w /tmp/lan0.tcpdump.log -x -vv tcp port 53运行一小时后按C中断注意:运行过程要监控一下/tmp的使用率,如果/tmp上升得太快则需要马上中断抓包进程。3.格式化包输出# tcpdump -nq -r /tmp/lan0.tcpdump.log.bak /tmp/output.tcpdump.log然后把/tmp/output.tcpdump.log提供出来就可以Sun Solaris 补充在Solaris系统上抓包Snoop是Solaris系统中自带的工具,是一个用于显示网络通讯的程序,它可捕获IP 包并将其显示或保存到指定文件。 (限超级用户使用snoop) Snoop可将捕获的包以一行的形式加以总结或用多行加以详细的描述(有调用不同的参数v -V来实现)。在总结方式下(-V ) ,将仅显示最高层的相关协议,例如一个NFS 包将仅显示NFS信息,其低层的RPC、UDP、 IP、Ethernet帧信息将不会显示,但是当加上相应的参数(-v ),这些信息都能被显示出来。参数简介: -a # Listen to packets on audio -d device # settable to le?, ie?, bf?, tr? -s snaplen # Truncate packets -c count # Quit after count packets -P # Turn OFF promiscuous mode -D # Report dropped packets -S # Report packet size -i file # Read previously captured packets -o file # Capture packets in file -n file # Load addr-to-name table from file -N # Create addr-to-name table -t r|a|d # Time: Relative, Absolute or Delta -v # Verbose packet display -V # Show all summary lines -p first,last # Select packet(s) to display -x offset,length # Hex dump from offset for length -C # Print packet filter code 由于snoop的使用非常灵活,希望能通过下面一些例子的学习来其常见用法。1、监听所有以本机为源和目的的包并将其显示出来。# snoop 2、监听所有以主机A为源和目的的包并将其显示出来(A为主机名, 下同)。# snoop A 3、监听所有A和B之间的包并将其保存到文件file。# snoop -o file A B 4、显示文件file 中指定的包(99-108) 。# snoop - i file -p 99,108 99 0.0027 boutique - sunroof NFS C GETATTR FH=8E6C 100 0.0046 sunroof - boutique NFS R GETATTR OK 101 0.0080 boutique - sunroof NFS C RENAME FH=8E6C MTra00192 to .nfs08 102 0.0102 marmot - viper NFS C LOOKUP FH=561E screen.r.13.i386 103 0.0072 viper - marmot NFS R LOOKUP No such file or directory 104 0.0085 bugbomb - sunroof RLOGIN C PORT=1023 h 105 0.0005 kandinsky - sparky RSTAT C Get Statistics 106 0.0004 beeblebrox - sunroof NFS C GETATTR FH=0307 107 0.0021 sparky - kandinsky RSTAT R 108 0.0073 office - jeremiah NFS C READ FH=2584 at 40960 for 8192 5、详细查看文件file中第101个包。# snoop - i file - v -p101 ETHER: - Ether Header - ETHER: ETHER: Packet 101 arrived at 16:09:53.59 ETHER: Packet size = 210 bytes ETHER: Destination = 8:0:20:1:3d:94, Sun ETHER: Source = 8:0:69:1:5f:e, Silicon Graphics ETHER: Ethertype = 0800 (IP) ETHER: IP: - IP Header - IP: IP: Version = 4, header length = 20 bytes IP: Type of service = 00 IP: .0. . = routine IP: .0 . = normal delay IP: . 0. = normal throughput IP: . .0. = normal reliability IP: Total length = 196 bytes IP: Identification 19846 IP: Flags = 0X IP: .0. . = may fragment IP: .0. . = more fragments ? - 3 - ? 6、查看主机A和主机B之间的NFS包(命令中的and 和or 为相应的逻辑运算) # snoop - i file rpc nfs and A and B 1 0.0000 A - B NFS C GETATTR FH=8E6C 2 0.0046 B - A NFS R GETATTR OK 3 0.0080 A - B NFS C RENAME FH=8E6C MTra00192 to .nfs08 7、将这些符合条件的包保存到另一文件file2 中: # snoop - i file -o file2 rpc nfs A B 8、监听主机A和主机B间所有TCP 80 端口或UDP80端口的包 # snoop A and B and (tcp or udp) and port 80 9、监听所有的广播包 #
人人文库> 全部分类> 教育资料 > 课设设计

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论