当前位置:文档之家› Linux网络协议分析工具tcpdump和tshark用法

Linux网络协议分析工具tcpdump和tshark用法

Linux网络协议分析工具tcpdump和tshark用法Tcpdump是网络协议分析的基本工具。tshark是大名鼎鼎的开源网络协议分析工具wireshark(原名叫ethereal)的命令行版本,wireshark 可对多达千余种网络协议进行解码分析。Wireshark和tcpdump均使用libpcap库(参见libpcap编程教程)进行网络截包。TCPDUMP 详细manpage参见tcpdump网站。基本用法Tcpdump的参数基本分为两块:选项(options)和过滤器表达式(filter_expression)Tcpdump是网络协议分析的基本工具。tshark是大名鼎鼎的开源网络协议分析wireshark(原名叫ethereal)的命令行版本,wireshark可对多达千余种网络协议进行解码分析。Wireshark和tcpdump均使用libpcap库(参见libpcap编程教程)进行网络截包。

TCPDUMP

详细manpage参见tcpdump网站。

基本用法

Tcpdump的参数基本分为两块:选项(options)和过滤器表达式(filter_expression)。

# tcpdump [options] [filter_expression]

例如

# tcpdump -c 100 -i eth0 -w log tcpdst port 50000

其中options部分参数:

-c 100 指定截取的包的数量

-i eth0 指定监听哪个网络端口

-w log 输出到名为log的文件中(libpcap格式)

filter_expression参数为tcpdst port 50000,即只监听目标端口为50000的tcp包。

更多的例子:

/* 监视目标地址为除内网地址(192.168.3.1-192.168.3.254)之外的流量*/

# tcpdumpdst net not 192.168.3.0/24

/*

监视除HTTP浏览(端口80/8080)、SSH(22)、POP3(110)之外的流量,注意在括号(之前添加转义符\, -n和-nn的解释见随后

*/

# tcpdump -n -nn port not \(www or 22 or 110\)

# tcpdump -n -nn port ! \(www or 22 or 110\)

/* 监视源主机MAC地址为00:50:04:BA: 9B的包*/

# tcpdump ether src 00:50:04:BA: 9B

/* 监视源主机为192.168.0.1并且目的端口不是telnet的包*/

# tcpdumpsrc host 192.168.0.1 and dst port not telnet

ipicmparprarp和tcp、udp、icmp这些选项等都要放到第一个参数的位置,用来过滤数据报的类型。例如:

# tcpdumpipsrc…… //只过滤数据-链路层上的IP报头

# tcpdumpudp and src host 192.168.0.1 //只过滤源主机192.168.0.1的所有udp报头

TcpDump提供了很多options参数来让我们选择如何处理得到的数据,如下所示:

-l 将数据重定向。如tcpdump -l > tcpcap.txt将得到的数据存入tcpcap.txt文件中。

-n 不进行IP地址到主机名的转换。如果不使用这一项,当系统中存在某一主机的主机名时,TcpDump会把IP地址转换为主机名显示,就像这样:eth0 <ntc9.1165>.telnet,使用-n后变成了:eth0 <192.168.0.9.1165 >192.168.0.1.telnet。

-nn不进行端口名称的转换。上面这条信息使用-nn后就变成了:eth0 <ntc9.1165 >.23。

-N 不打印出默认的域名。还是这条信息-N 后就是:eth0 <ntc9.1165 >router.telnet。

-O 不进行匹配代码的优化。

-t 不打印UNIX时间戳,也就是不显示时间。

-tt打印原始的、未格式化过的时间。

-v 详细的输出,也就比普通的多了个TTL和服务类型。

参数详解

tcpdump采用命令行方式,它的命令格式为:

tcpdump [ -adeflnNOpqStvx ] [ -c 数量] [ -F 文件名]

[ -i 网络接口] [ -r 文件名] [ -s snaplen ]

[ -T 类型] [ -w 文件名] [表达式]

-a 将网络地址和广播地址转变成名字;

-d 将匹配信息包的代码以人们能够理解的汇编格式给出;

-dd将匹配信息包的代码以c语言程序段的格式给出;

-ddd将匹配信息包的代码以十进制的形式给出;

-e 在输出行打印出数据链路层的头部信息;

-f 将外部的Internet地址以数字的形式打印出来;

-l 使标准输出变为缓冲行形式;

-n 不把网络地址转换成名字;

-t 在输出的每一行不打印时间戳;

-v 输出一个稍微详细的信息,例如在ip包中可以包括ttl和服务类型的信息;

-vv输出详细的报文信息;

-c 在收到指定的包的数目后,tcpdump就会停止;

-F 从指定的文件中读取表达式,忽略其它的表达式;

-i 指定监听的网络接口;

-r 从指定的文件中读取包(这些包一般通过-w选项产生);

-w 直接将包写入文件中,并不分析和打印出来;

-T 将监听到的包直接解释为指定的类型的报文,常见的类型有rpc(远程过程

调用)和snmp(简单网络管理协议;)

tcpdump的表达式介绍

相关主题

相关文档推荐: