内容：-WinDump手册名称windump-–-获取网络流量命令格式windump

1、无 内容： WinDump 手册名称 windump 获取网络流量命令格式 windump.txt6 宽容润滑了彼此的关系，消除了彼此的隔阂，扫清了彼此的顾忌，增进了彼此的了解。内容： WinDump 手册 名称 windump 获取网络流量 命令格式 windump -aBdDeflnNOpqRStvxX -c count -F file -i interface -m module -r file -s snaplen -T type -w file -E algo:secret expression 描述 Tcpdump 输出网卡数据包中匹配布尔表达式的数据包头。 SunOS 系统下使用

2、 nit 或 bpf:要运行 tcpdump，你必须有对 dev/nit 或/dev/bpf*的权利。Solaris 系统下使用 dlpi:你必须有对网络假设置的权利。HP-UX 系统下使用 dlpi:你应该以超级用户 ROOT 或安装 SETUID 到 ROOT 下。IRIX 下使用 SNOOP：你应该以超级用户 ROOT 或安装 SETUID 到 ROOT 下。LINUX 下：你应该以超级用户 ROOT 或安装 SETUID 到 ROOT 下。在系统Ultrix 和 Digital UNIX： 命令参数 -a 将网络和广播地址转化为名称 -c 接收指定数据包后退出 -d 接收人可读的包匹配

3、编译代码到标准输出，然后停止 -dd 以 C 程序分段方式捕获包匹配代码 -ddd 以十进制数据形式捕获包匹配代码 -e 在每个捕获行打印链路层 -E algo:secret 为解密 IPSE ESP 包使用算法。算法可以是 des-cbc, 3des-cbc, blowfish-cbc, rc3-cbc, cast128-cbc, 或 none。默认值是 desc-cbc。只有当 TCPDUMP 编译时使用激活加密选项时，才可以解密数据包。Secret 是 ESP 密匙是 ASCII 码。当前还不能认为一定是二进制值。该选项是以 RFC2406ESP 为假设，而不是 RFC1827 ESP。

4、只用于调试，不鼓励用真正的密码作为选项。当你在 PS 或其他场合，把 IPSEC 密码写在命令行上时，会被他人看到。 -f 不用符号而用数字方式输出外部英特网地址 -F 使用文件作为过滤表达式的输入。命令行的其他部分会被忽略。 -i 无 在接口上监听。如果没有指定，TCPDUMP 将搜索系统接口列表中最小，被配置激活的接口（LOOPBACK 接口除外） 。可用最先匹配替换这种关系。在 WINDOWS 中接口可以是网卡的名称，或是网卡的号码（-D 参数可显示该号码） 。 内核为 2。2 或其后的 LINUX 系统，参数“ANY”可以获取所有接口的数据。应注意的是在混乱模式下不能使用“ANY”参数

5、。 -l 标准输出行缓存。如果你想在捕获数据时查看的话，这个参数很有用。例如： “tcpdump -l tee dat or tcpdump -l dat & tail -f dat.” n 不要将地址（如主机地址，端口号）转换为名称 -N 不要打印主机名称的域名限定。 如： 如果你使用该参数， TCPDUMP 会输出 “NIC” 而不是 “NIC。DDN。MIL” 。 -m 从文件模块中载入 SMI MIB 模块定义。这个选项可以为 TCPDUMP 载入多个 MIB 模块 -O 不要运行包匹配代码优化器。只有在你怀疑优化器有问题时可以使用这个参数。 -p 不要让接口处于“混乱”模式。

6、注意接口可能由于其他原因处于“混乱”模式；因此“-p”不能用作以太网络主机或广播的缩写。 -q 快速（安静？）输出。打印较少的协议信息，因此输出行更短。 -r 从文件中读取包（与参数据-W 一起使用） 。如果文件是“-”就使用标准输入。 -s 不使用默认的 68 个字节， 更改从每个包中获取数据的字节数量 （ SunOS 系统实际最小为 96） 。对于 IP，ICMP，TCP 和 UDP 包 68 个字节已足够，但是对命名服务和 NFS 包，他们的协议会被截断（见下面） 。包被截断是因为在使用参数proto输出时指定受限制的快照，proto是被截断协议层的名称。注意如果使用大的快照会增加处理包

7、的时间，并且明显地减少包的缓存数量。也许会导致包的丢失。你应该将 snaplen 设置成你感兴趣协议的最小数。当snaplen 为 0 时接收整个包。 -T 根据表达式将选中的数据包表达成指定的类型。当前已有的类型有 CNFP（Cisco 的网络流量协议） ，rpc（远端程序调用） ，rtp（实时程序协议） ，rtcp（实时程序控制协议） ，snmp（简单网络管理协议） ，vat（可视单频工具） ，和 wb（分布式白板） 。 -R 假设 ESP/AH 包遵守旧的说明（RFC1825 到 RFC1829） 。如果该参数被指定，TCPDUMP 不打输出域。因为在 ESP/AH 说明中没有协议版本，

8、TCPDUMP 就无法推断出其版本号。 -S 输出绝对 TCP 序列号，而不是相对号。 -t 每个捕获行不要显示时间戳。 -tt 无 每个捕获行显示非格式化的时间时间戳。 -v 详细输出。例如，显示生存时间 TTL，标识符，总长度和 IP 数据包的选项。也进行额外的包完整性较验，如验证 IP 和 ICMP 的头标较验值。 -vv 更为详细的输出。例如，显示 NFS 中继包中的其他域。 -vvv 很详细的输出。如，完全输出 TELNET SB SE 选项。带-X 参数的 TELNET，打印并以十六进制输出。 -w 不对原始数据包解析打印而是转到文件中去。以后可用-r 选项打印。当文件名为“-”表

9、示标准输出。 -x 以十六进制（去除链路层头标）输出每个数据包。输出整个包的小部分或 snaplen 个字节。 -X 输出十六进制同时，输出 ASCII 码。如果-x 也被设置，数据包会以十六制/ASCII 码显示。这对于分析新协议非常方便。 如果-x 也没有设置， 一些数据包的部分会以十六制/ASCII 码显示。 Win32 特殊扩展 -B 以千字节为单位设置驱动缓存。默认缓存为 1M（即 1000） 。如果在获取数据包时有数据丢失，建议使用该参数增大核心缓存大小，因为驱动缓存大小对数据捕获性能有很大影响。 -D 显示系统上可用的网卡列表。该参数将返回每块网卡的号码，名称和描述。用户可以输入

10、“WinDump i 网卡名称”或“WinDump i 网卡号码” 。如果机器有多块网卡，不带参数的WINDUMP 命令会从系统的第一块可用网卡开始。 表达式 选择哪些包被捕获。如果没有指定表达式，会捕获所有在网络中的数据包。否则只获捕表达式为真的数据包。 表达式由一个或多个原语组成。原语通常由一个 ID（名称或号码）前面加一个或多个限定词组成。有三种不同的限定词。 类型 限定词指出 id， 名称或号码属于哪种类型。 可能的类型包括： host,net 和 port。 如 host foo , net 128.3, port 20. 如果没有指定类型，假设为 host。 方向 限定词指出特定的

11、传输方向， 是从 id 传来还是传到 id。 可能方向是 src, dst, src or dst 和 src and dst。例如src foo, dst net 128.3, src or dst port ftp-data。如果没有方向限定词将指定 src or dst。 对于 空 链路层 （像 SLIP 这样的点到点协议） ， 可以用 inbound和 outbound 限定词指明需要的方向。 协议 限定词限定匹配某类特定的协议。可能的协议有：ether, fddi, tr, ip, ip6, arp, rarp, 无 decnet, tcp 和 udp。如ether src foo,

12、 arp net 128.3, tcp port 21。如没指定协议，则假设匹配所有协议。如src foo 指 (ip or arp or rarp) src foo (但后面的表达式不合法法)（except the latter is not legal syntax）, net bar 指 (ip or arp or rarp) net bar 和 port 53 指 (tcp or udp) port 53。 fddi 实际上是ether的别名；解析器会认为两者都是指“指定接口中使用的数据链路层”FDDI 头标包括类似以太网的源和目的地址，经常包含类似以太网的包类型，所以你可像对以太网字

13、段一样过滤 FDDI 域。FDDI 头标也包括其他域，但你不能在表达式中直接使用他们。 同样tr也是ether的别名；前一段 FDDI 头标的情况也适用于令牌环网头标。 除了以上所讲的，还有一些特殊的原语关键字不使用这种方式：gateway, broadcast, less, greater 和算术表达式，都描述如下： 通过使用 and, or 和 not 结合原语，构成更复杂的过滤表达式。如host foo and not port ftp and not port ftp-data。为了减少输入，可以忽略相同的限定词列表。如tcp dst port ftp or ftp-data or d

14、omain 实际等同于 tcp dst port ftp or tcp dst port ftp-data or tcp dst port domain. (1). tcpdump 的选项介绍 http:/ -a 将网络地址和广播地址转变成名字； -d 将匹配信息包的代码以人们能够理解的汇编格式给出； -dd 将匹配信息包的代码以 c 语言程序段的格式给出； -ddd 将匹配信息包的代码以十进制的形式给出； -e 在输出行打印出数据链路层的头部信息； -f 将外部的 Internet 地址以数字的形式打印出来； -l 使标准输出变为缓冲行形式； -n 不把网络地址转换成名字； -t 在输出的每

15、一行不打印时间戳； -v 输出一个稍微详细的信息， 例如在 ip 包中可以包括 ttl 和服务类型的信息； -vv 输出详细的报文信息； -c 在收到指定的包的数目后，tcpdump 就会停止； -F 从指定的文件中读取表达式,忽略其它的表达式； -i 指定监听的网络接口； -r 从指定的文件中读取包(这些包一般通过-w 选项产生)； -w 直接将包写入文件中，并不分析和打印出来； -T 将监听到的包直接解释为指定的类型的报文，常见的类型有 rpc （远程过程调用）和 snmp（简单网络管理协议； ） (2). tcpdump 的表达式介绍 http:/ 表达式是一个正则表达式，tcpdump

16、 利用它作为过滤报文的条件，如果一个报文满足表达式的条件，则这个报文将会被捕获。如果没有给出任何条件，则网络上所有的信息包将会被截无 获。在表达式中一般如下几种类型的关键字。 http:/ 第一种是关于类型的关键字，主要包括 host，net，port, 例如 host ，指明 是一台主机，net 指明 是一个网络地址，port 23 指明端口号是 23。如果没有指定类型，缺省的类型是 host. http:/ 第二种是确定传输方向的关键字，主要包括 src , dst ,dst or src, dst an

17、d src ,这些关键字指明了传输的方向。举例说明，src ,指明 ip 包中源地址是 , dst net 指明目的网络地址是 。如果没有指明方向关键字，则缺省是src or dst 关键字。 http:/ 第三种是协议的关键字， 主要包括fddi,ip,arp,rarp,tcp,udp等类型。 Fddi指明是在FDDI(分布式光纤数据接口网络)上的特定的网络协议，实际上它是ether的别名，fddi 和 ether 具有类似的源地址和目的地址， 所以可以将 fddi 协议包当作 ether 的包进行处理和

18、分析。 其他的几个关键字就是指明了监听的包的协议内容。如果没有指定任何协议，则 tcpdump 将会监听所有协议的信息包。 除了这三种类型的关键字之外， 其他重要的关键字如下： gateway, broadcast,less,greater,还有三种逻辑运算，取非运算是 not ! , 与运算是and,&或运算 是or ,； 这些关键字可以组合起来构成强大的组合条件来满足人们的需要， 下面举几个例子来说明。 http:/ A 想要截获所有 的主机收到的和发出的所有的数据包： #tcpdump host B 想要截获主机 210.27.48

19、.1 和主机 或 的通信，使用命令： （在命令行中适用 括号时，一定要 #tcpdump host and ( or ) C 如果想要获取主机 除了和主机 之外所有主机通信的 ip 包， 使用命令： #tcpdump ip host and ! D 如果想要获取主机 接收或发出的 telnet 包，使用如下命令： #tcpdump tcp port 23 ho

20、st (3). tcpdump 的输出结果介绍 http:/ 下面我们介绍几种典型的 tcpdump 命令的输出信息 http:/ 无 A,数据链路层头信息 http:/ 使用命令 #tcpdump -e host ice ice 是一台装有 linux 的主机，她的 MAC 地址是 0：90：27：58：AF：1A H219 是一台装有 SOLARIC 的 SUN 工作站，它的 MAC 地址是 8：0：20：79：5B：46；上一条命令的输出结果如下所示： 21:50:12.847509 eth0 ice.telne t 0:0(0) ack 22535 win 87

21、60 (DF) 分析：21：50：12 是显示的时间， 847509 是 ID 号，eth0 表示从网络接口设备发送数据包, 8:0:20:79:5b:46 是主机 H219 的 MAC 地址,它表明是从源地址 H219 发来的数据包. 0:90:27:58:af:1a 是主机 ICE 的 MAC 地址,表示该数据包的目的地址是ICE . ip 是表明该数据包是IP数据包,60 是数据包的长度, h219.33357 ice.telnet 表明该数据包是从主机H219的33357端口发往主机ICE的TELNET(23)端口. ack 22535 表明对序列号是 222535 的包进行响应. win 8760 表明发送窗口的大小是 8760. B,ARP 包的 TCPDUMP