抓包工具使用说明v1.1.doc

cvBS项目抓包工具 使用说明南京中兴软创科技股份有限公司2010年4月资料版本：Version 1.1日 期：2010年4月密 级：公开资料 内部资料 保密资料 机密资料状 态：初稿 讨论稿 发布文档控制记录修改记录日期作者版本修改记录2010-4-9耿自强V1.0初稿2010-4-15耿自强V1.1更改抓包案例审阅姓名时间职位目 录1.常用操作系统抓包工具列表：42.安装说明5A.AIX：5B.HPUX：5C.Solaris5D.Linux6E.Windows63.命令使用详解7A.tcpdump命令7B.windump命令74.常用场景举例及参数解释8A.使用tcpdump命令抓取OLC收到的DCC包，OLC对外服务端口为6001，协议为diameter。8B.使用tcpdump命令抓取UIP收到的MML包，UIP对外服务端口为9004，协议为TCP。121. 常用操作系统抓包工具列表：操作系统抓包工具AIXtcpdump，iptraceHPUXnettl，tcpdumpSolarissnoop, tcpdumpLinuxtcpdumpWindowswindump，wireshark，sniffer为统一版本，针对UNIX/LINUX平台使用用tcpdump进行抓包，Windows平台使用windump进行抓包，通过windows 平台wireshark进行包分析。各软件包下载地址如下：Libpcap下载：ftp:/cvbs:cvbs$08/抓包工具/libpcap-1.1.1.tar.gzTcpdump 下载：ftp:/cvbs:cvbs$08/抓包工具/tcpdump-4.1.1.tar.gzWireshark 下载：ftp:/cvbs:cvbs$08/抓包工具/wireshark-win32-1.2.7.exeWindump 下载：ftp:/cvbs:cvbs$08/抓包工具/WinDump.exeWinPcap 下载：ftp:/cvbs:cvbs$08/抓包工具/WinPcap_4_1_1.exe2. 安装说明A. AIX：系统安装时，一般默认安装，无需单独安装tcpdumpB. HPUX：i. 需要安装libpcap及tcpdump，软件请通过公司FTP下载，安装包为源码，各UNIX平台通用。由于是源码，需要安装编译器（编译器安装详见cvBS集成安装手册）。ii. 安装libcap将安装文件libpcap-1.1.1.tar.gz上传到服务器/tmp 下#cd tmp#gunzip libpcap-1.1.1.tar.gz#tar -xf libpcap-1.1.1.tar# cd libpcap-1.1.1# ./configure# make# make installiii. 安装tcpdump将安装文件tcpdump-4.1.1.tar.gz上传到服务器/tmp 下#cd tmp#gunzip tcpdump-4.1.1.tar.gz#tar -xf tcpdump-4.1.1.tar# cd tcpdump-4.1.1# ./configure# make# make installiv. 安装完成后，请编辑环境变量，增加PATH=/usr/local/sbin:$PATH;export PATHC. Solarisi. 需要安装libpcap及tcpdump，软件请通过公司FTP下载，安装包为源码，各UNIX平台通用。由于是源码，需要安装Studio编译器（编译器安装详见cvBS集成安装手册）。ii. 安装libcap将安装文件libpcap-1.1.1.tar.gz上传到服务器/tmp 下#cd tmp#gunzip libpcap-1.1.1.tar.gz#tar -xf libpcap-1.1.1.tar# cd libpcap-1.1.1# ./configure# make# make installiii. 安装tcpdump将安装文件tcpdump-4.1.1.tar.gz上传到服务器/tmp 下#cd tmp#gunzip tcpdump-4.1.1.tar.gz#tar -xf tcpdump-4.1.1.tar# cd tcpdump-4.1.1# ./configure# make# make installiv. 安装完成后，请编辑环境变量，增加PATH=/usr/local/sbin:$PATH;export PATHD. Linux系统安装时，一般默认安装，无需单独安装tcpdumpE. Windows从公司ftp下载WinDump.exe、wireshark-win32-1.3.4.exe、WinPcap_4_1_1.exe复制WinDump.exe至%SystemRoot%目录，其他两个双击安装。3. 命令使用详解A. tcpdump命令Usage: tcpdump -aAbdDefIKlLnNOpqRStuUvxX -B size -c count -C file_size -E algo:secret -F file -G seconds -i interface -M secret -r file -s snaplen -T type -w file -W filecount -y datalinktype -z command -Z user expression 详细解释见tcpdump中文MAN手册.docB. windump命令Usage: windump -aAdDeflLnNOpqRStuUvxX -B size -c count -C file_size -E algo:secret -F file -i interface -M secret -r file -s snaplen -T type -w file -W filecount -y datalinktype -Z user expression 详细命令解释与tcpdump一致。4. 常用场景举例及参数解释OCS系统中，对外接口一般为OLC、UIP和CSIP，下面分别以OLC、UIP为例，进行抓包分析。环境介绍：主机操作系统对外服务IPOLCAIXUIPAIX4发包测试机WINDOWS84A. 使用tcpdump命令抓取OLC收到的DCC包，OLC对外服务端口为6001，协议为diameter。i. telnet 至，查看服务地址位于哪块网卡上，使用netstat -in命令，由下图可见，位于en2ii. 使用tcpdump -D命令，查看主机网卡编号，如下图，可见en2编号为3。iii. 由以上命令得出tcpdump抓包命令为：tcpdump -i 3 -w /tmp/olc-diameter.cap -s 6000 port 6001 and host 84命令解释:-w保存至文件，如不设置，则为标准输出-s数据包的截取长度-i网卡编号port 端口号host 主机ip地址抓包过程及分析：登录OLC主机，输入“tcpdump -i 3 -w /tmp/olc-diameter.cap -s 6000 port 6001 and host 84”命令后，使用测试工具从测试机（84）向OLC发送包文如下：3001,1, 3003,80, 3004,272, 3005,4, 4001,SCP236.;3370744586;617233, 4002,SCP236., 4003,, 4004,, 4006,4, 4007,, 4008,4, 4009,0, 4101,0, 41014102,6288211050114, 41015001,4, 5002,0, 5601,2996, 56015602,8, 56015603,456, 56015606,344, 56015607,345, 56015608,2, 56014101,0, 560141014102,6288211050114, 560141014101,1, 560141024102,088211050114, 56014102将抓包得到的olc-diameter.cap 传送至自己的机器，使用wireshark打开分析。由于6001端口默认是x11协议，需要将6001端口改为diameter协议，在图中点击右键，选择Decode As。然后将6001端口改为diameter协议，如下图所示：点击OK之后，显示如下，在Diameter Protocol中即可看到发送包文内容。B. 使用tcpdump命令抓取UIP收到的MML包，UIP对外服务端口为9004，协议为TCP。i. telnet 至4，查看服务地址4位于哪块网卡上，使用netstat -in命令，由下图可见，4位于en0ii. 使用tcpdump -D命令，查看主机网卡编号，如下图，可见en0编号为1。iii. 由以上命令得出tcpdump抓包命令为：tcpdump -i 1 -w /tmp/mml.cap -s 6000 port 9004 and host 84命令解释:-w保存至文件，如不设置，则为标准输出-s数据包的截取长度-i网卡编号po