标签:
tcpdump是一个UNIX工具,用于网络流量抓取、过滤和分析,Windows系统下的叫做WinDump。tcpdump和WinDump这两个工具并非完全一样,但是它们的抓包文件一般是可以彼此通用的。
tcpdump:http://www.tcpdump.org/
WinDump:http://www.winpcap.org/windump/default.htm
由于tcpdump是基于libpcap的,所以它是在第二层(数据链路层)上进行获取的。但是在默认情况下,tcpdump只显示第三层或者更高协议的详细数据,使用“-e”参数可以让它把第二层的数据也显示出来。
除了抓包之外,tcpdump还能对常见的第二到第四层协议进行解码(以及一些更高层的协议),并把相关信息显示给用户看。解码后的包可以以十六进制的形式或与之相对应的ASCII字符的形式(也就是把数据当成文本显示)展示给用户,也可以同时以这两种形式展示数据。
tcpdump抓包的质量会受到硬件本身和系统配置的限制,比如CPU和磁盘空间。使用tcpdump抓取流量的一个关键配置选项是snapshot长度,也就是“snaplen”。snaplen表示的是tcpdump将要记录每个帧中多少个字节。它是从数据链路层的第0个字节偏移起算的。
设定较大的snapshot既增加了处理包所需的实际,实际上又减小了包缓冲区的大小,这可能导致包被丢弃,你应该在包装你所关心的协议信息能被完整抓取的前提下,设定一个最小的snapleng。
由于我是win7系统,就使用WinDump进行测试。通过上面的链接进行下载WinDump,但允许它之前是要安装WinPcap库。下面是执行WinDump的效果:
标签:
原文地址:http://www.cnblogs.com/zhongxinWang/p/4306614.html
