码迷,mamicode.com
首页 > 其他好文 > 详细

【抓包工具】tcpdump

时间:2019-11-22 19:47:35      阅读:85      评论:0      收藏:0      [点我收藏+]

标签:sdn   一个   erb   数据接口   link   网络协议   span   list   rarp   

 

[root@oldboy ~]# tcpdump -n icmp -i eth3
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth3, link-type EN10MB (Ethernet), capture size 65535 bytes
17:56:11.790672 IP 192.168.0.109 > 183.232.231.172: ICMP echo request, id 3859, seq 1, length 64
17:56:11.836467 IP 183.232.231.172 > 192.168.0.109: ICMP echo reply, id 3859, seq 1, length 64
17:56:11.996984 IP 192.168.0.109 > 8.8.8.8: ICMP 192.168.0.109 udp port 60926 unreachable, length 126
17:56:12.792953 IP 192.168.0.109 > 183.232.231.172: ICMP echo request, id 3859, seq 2, length 64
17:56:12.843703 IP 183.232.231.172 > 192.168.0.109: ICMP echo reply, id 3859, seq 2, length 64
17:56:13.795072 IP 192.168.0.109 > 183.232.231.172: ICMP echo request, id 3859, seq 3, length 64
17:56:13.839374 IP 183.232.231.172 > 192.168.0.109: ICMP echo reply, id 3859, seq 3, length 64
17:56:14.796599 IP 192.168.0.109 > 183.232.231.172: ICMP echo request, id 3859, seq 4, length 64
17:56:14.841945 IP 183.232.231.172 > 192.168.0.109: ICMP echo reply, id 3859, seq 4, length 64
17:58:32.175915 IP 192.168.0.102 > 8.8.8.8: ICMP 192.168.0.102 udp port 58912 unreachable, length 36
17:58:32.344478 IP 192.168.0.102 > 8.8.8.8: ICMP 192.168.0.102 udp port 58912 unreachable, length 36

 


 

tcpdump的表达式介绍

表达式是一个正则表达式,tcpdump利用它作为过滤报文的条件,如果一个报文满足表 达式的条件,则这个报文将会被捕获。如果没有给出任何条件,则网络上所有的信息包 将会被截获。

在表达式中一般如下几种类型的关键字:

  • 第一种是关于类型的关键字,主要包括host,net,port
    • 例如 host 210.27.48.2, 指明 210.27.48.2是一台主机,
    • net 202.0.0.0指明202.0.0.0是一个网络地址,
    • port 23 指明端口号是23。
    • 如果没有指定类型,缺省的类型是host。
  • 第二种是确定传输方向的关键字,主要包括src,dst,dst or src,dst and src, 这些关键字指明了传输的方向。
    • src 210.27.48.2 ,指明ip包中源地址是 210.27.48.2 ,
    • dst net 202.0.0.0 指明目的网络地址是202.0.0.0。
    • 如果没有指明 方向关键字,则缺省是src or dst关键字。
  • 第三种是协议的关键字,主要包括fddi,ip,arp,rarp,tcp,udp等类型。
    • Fddi指明是在FDDI (分布式光纤数据接口网络)上的特定的网络协议,实际上它是”ether”的别名,fddi和ether 具有类似的源地址和目的地址,所以可以将fddi协议包当作ether的包进行处理和分析。
    • 其他的几个关键字就是指明了监听的包的协议内容。如果没有指定任何协议,则tcpdump 将会 监听所有协议的信息包。
  • 除了这三种类型的关键字之外,其他重要的关键字如下:gateway, broadcast,less, greater
  • 三种逻辑运算,
    • 取非运算是 ‘not ‘ ‘! ‘,
    • 与运算是’and’,’&&’;
    • 或运算是’or’ ,’||’;

这些关键字可以组合起来构成强大的组合条件来满足人们的需要。

 

 

 


 

参考:https://blog.csdn.net/fujibao/article/details/84638542https://www.cnblogs.com/yhaing/p/8706572.html

 

 

 

【抓包工具】tcpdump

标签:sdn   一个   erb   数据接口   link   网络协议   span   list   rarp   

原文地址:https://www.cnblogs.com/zoe233/p/11913295.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
分享档案
周排行
mamicode.com排行更多图片
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!