各個OS下抓包方法.doc_第1頁
各個OS下抓包方法.doc_第2頁
各個OS下抓包方法.doc_第3頁
各個OS下抓包方法.doc_第4頁
各個OS下抓包方法.doc_第5頁
全文預(yù)覽已結(jié)束

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

使用命令:tcpdump -i eth1 -s 0 -C 2 -w jh.cap-I eth1: 是指定網(wǎng)卡 ,2 : 是2兆一個文件;Jh.cap : 是文件名. 后面會跟一個數(shù)字自動加1linux: tcpdump host 35 s 5000 -w log / -s 5000 很重要例:isap-1-10: # tcpdump host 02 -s 0 -w xxx.captcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes7 packets captured14 packets received by filter0 packets dropped by kerneltcpdump -i eth2 -s 0 -w 04141401.cap host 74 and port 8886例isap-1-10: # tcpdump -i eth0 -s 0 -w yyy.captcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes218 packets captured436 packets received by filter0 packets dropped by kernelisap-1-10: # tcpdump -i eth0 -s 0 -w yyy.cap port 8803tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes0 packets captured0 packets received by filter0 packets dropped by kerneleth2 是 74 的”網(wǎng)卡名”, 使用 ifconfig 查看表示抓含有地址為35的包tcpdump -i eth0 -s 1500 -w a.dmp 這個語句機會可以在任何情況下使用。簡單解釋一下,-i eth0是在eth0接口上監(jiān)聽, -s 1500是一個很重要的參數(shù),它指抓取的數(shù)據(jù)包的前1500個字節(jié),否則你可能只能看到數(shù)據(jù)包的前68個字節(jié),因為tcpdump的默認(rèn)抓取長度是68,w a.dmp是表示把抓取的數(shù)據(jù)寫入a.dmp中。抓取介紹后,CtlC,你可以看到a.dmp已經(jīng)生成。然后用sftp傳到本機使用Ethereal解析。tcpdump -i 網(wǎng)卡 -s 5000 -w xx.cap port 端口號此處網(wǎng)卡必須是 ethx 不能是 ip要以root 用戶操作. sun: snoopsnoop -d 網(wǎng)卡名 -xo -ta -o 存放路徑/文件名 host or port(可用 host or port, 也可以是 host and port )使用 ifconfig a , 然后根據(jù)ip 獲得網(wǎng)卡名.ibm:iptrace - i en0 -p telnet -s airmail /tmp/telnet.traceiptrace 0711.trace0711.trace是文件名在aix上用了iptrace過后,tcpdump就用不了了,提示:tcpdump: BIOCSETIF: en1: Do not specify an existing file.已經(jīng)kill-9 將iptrace進(jìn)程殺死。我曾經(jīng)看到過一個帖子,說kill-9 iptrace進(jìn)程后,需運行iptrace -u才能用tcpdump,但是我運行iptrace -u,提示iptrace: Cant turn off tracing對AIX不熟,哪位大哥幫我看看啊,謝謝HP-UX上使用tcpdump抓包的方法!1.檢查是否有tcpdump軟件,如果沒有則安裝tcpdump軟件,軟件在hpl3000上有2.抓包# netstat -in看現(xiàn)在用的是那個網(wǎng)卡,假如用的是lan0#tcpdump -i lan0 -w /tmp/lan0.tcpdump.log -x -vv tcp port 53運行一小時后按C中斷注意:運行過程要監(jiān)控一下/tmp的使用率,如果/tmp上升得太快則需要馬上中斷抓包進(jìn)程。3.格式化包輸出# tcpdump -nq -r /tmp/lan0.tcpdump.log.bak /tmp/output.tcpdump.log然后把/tmp/output.tcpdump.log提供出來就可以Sun Solaris 補充在Solaris系統(tǒng)上抓包Snoop是Solaris系統(tǒng)中自帶的工具,是一個用于顯示網(wǎng)絡(luò)通訊的程序,它可捕獲IP 包并將其顯示或保存到指定文件。 (限超級用戶使用snoop) Snoop可將捕獲的包以一行的形式加以總結(jié)或用多行加以詳細(xì)的描述(有調(diào)用不同的參數(shù)v -V來實現(xiàn))。在總結(jié)方式下(-V ) ,將僅顯示最高層的相關(guān)協(xié)議,例如一個NFS 包將僅顯示NFS信息,其低層的RPC、UDP、 IP、Ethernet幀信息將不會顯示,但是當(dāng)加上相應(yīng)的參數(shù)(-v ),這些信息都能被顯示出來。參數(shù)簡介: -a # Listen to packets on audio -d device # settable to le?, ie?, bf?, tr? -s snaplen # Truncate packets -c count # Quit after count packets -P # Turn OFF promiscuous mode -D # Report dropped packets -S # Report packet size -i file # Read previously captured packets -o file # Capture packets in file -n file # Load addr-to-name table from file -N # Create addr-to-name table -t r|a|d # Time: Relative, Absolute or Delta -v # Verbose packet display -V # Show all summary lines -p first,last # Select packet(s) to display -x offset,length # Hex dump from offset for length -C # Print packet filter code 由于snoop的使用非常靈活,希望能通過下面一些例子的學(xué)習(xí)來其常見用法。1、監(jiān)聽所有以本機為源和目的的包并將其顯示出來。# snoop 2、監(jiān)聽所有以主機A為源和目的的包并將其顯示出來(A為主機名, 下同)。# snoop A 3、監(jiān)聽所有A和B之間的包并將其保存到文件file。# snoop -o file A B 4、顯示文件file 中指定的包(99-108) 。# snoop - i file -p 99,108 99 0.0027 boutique - sunroof NFS C GETATTR FH=8E6C 100 0.0046 sunroof - boutique NFS R GETATTR OK 101 0.0080 boutique - sunroof NFS C RENAME FH=8E6C MTra00192 to .nfs08 102 0.0102 marmot - viper NFS C LOOKUP FH=561E screen.r.13.i386 103 0.0072 viper - marmot NFS R LOOKUP No such file or directory 104 0.0085 bugbomb - sunroof RLOGIN C PORT=1023 h 105 0.0005 kandinsky - sparky RSTAT C Get Statistics 106 0.0004 beeblebrox - sunroof NFS C GETATTR FH=0307 107 0.0021 sparky - kandinsky RSTAT R 108 0.0073 office - jeremiah NFS C READ FH=2584 at 40960 for 8192 5、詳細(xì)查看文件file中第101個包。# snoop - i file - v -p101 ETHER: - Ether Header - ETHER: ETHER: Packet 101 arrived at 16:09:53.59 ETHER: Packet size = 210 bytes ETHER: Destination = 8:0:20:1:3d:94, Sun ETHER: Source = 8:0:69:1:5f:e, Silicon Graphics ETHER: Ethertype = 0800 (IP) ETHER: IP: - IP Header - IP: IP: Version = 4, header length = 20 bytes IP: Type of service = 00 IP: .0. . = routine IP: .0 . = normal delay IP: . 0. = normal throughput IP: . .0. = normal reliability IP: Total length = 196 bytes IP: Identification 19846 IP: Flags = 0X IP: .0. . = may fragment IP: .0. . = more fragments ? - 3 - ? 6、查看主機A和主機B之間的NFS包(命令中的and 和or 為相應(yīng)的邏輯運算) # snoop - i file rpc nfs and A and B 1 0.0000 A - B NFS C GETATTR FH=8E6C 2 0.0046 B - A NFS R GETATTR OK 3 0.0080 A - B NFS C RENAME FH=8E6C MTra00192 to .nfs08 7、將這些符合條件的包保存到另一文件file2 中: # snoop - i file -o file2 rpc nfs A B 8、監(jiān)聽主機A和主機B間所有TCP 80 端口或UDP80端口的包 # snoop A and B and (tcp or udp) and port 80 9、監(jiān)聽所有的廣播包 #

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論