概述
维护云平台的过程中,网络问题是至关重要的,所以网络分析命令就要求熟练使用。下面我就介绍下tcpdump
详解
1.首先我们看看usage
tcpdump -h
tcpdump [ -adeflnNOpqStvx ] [ -c 数量 ] [ -F 文件名 ]
[ -i 网络接口 ] [ -r 文件名] [ -s snaplen ]
[ -T 类型 ] [ -w 文件名 ] [表达式 ]
2.选项介绍
-a 将网络地址和广播地址转变成名字;
-d 将匹配信息包的代码以人们能够理解的汇编格式给出;
-dd 将匹配信息包的代码以C语言程序段的格式给出;
-ddd 将匹配信息包的代码以十进制的形式给出;
-e 在输出行打印出数据链路层的头部信息;显示MAC地址
-f 将外部的Internet地址以数字的形式打印出来;
-l 使标准输出变为缓冲行形式;
-n 不把网络地址转换成名字;
-t 在输出的每一行不打印时间戳;
-s 抓报长度,一般设置为0,即65535字节
-v 输出一个稍微详细的信息,例如在ip包中可以包括ttl和服务类型的信息;
-vv 输出详细的报文信息;
-c 在收到指定的包的数目后,tcpdump就会停止;
-F 从指定的文件中读取表达式,忽略其它的表达式;
-i 指定监听的网络接口;
-r 从指定的文件中读取包(这些包一般通过-w选项产生);
-w 直接将包写入文件中,并不分析和打印出来;
-T 将监听到的包直接解释为指定的类型的报文,常见的类型有rpc (远程过程调用)和snmp(简单网络管理协议;)
3.表达式介绍
3.1类型关键字
host 192.168.1.10指明的是一台主机
net 192.168.1.0 指明的是网络地址
port 22指明的是端口
3.2传输方向关键字
src 192.168.1.10指明ip包的源地址
dst net 192.168.1.0指明ip包的目的网段
3.3协议关键字
ip,icmp,arp,rarp,tcp,udp等类型
除了这三种类型的关键字之外,其他重要的关键字如下:gateway, broadcast,less,greater
还有三种逻辑运算,取非运算是 'not ' '! ', 与运算是'and','&&';或运算是'or' ,'||';
举例
这些关键字可以组合起来构成强大的组合条件来满足人们的需要,下面举几个例子来说明。
1.获取所有192.168.1.10 的主机收到的和发出的所有的数据包:
#tcpdump host 192.168.1.10
2.获取主机192.168.1.10和主机192.168.1.2 或192.168.1.3的通信,使用命令
#tcpdump host 192.168.1.10 and \(192.168.1.2 or 192.168.1.3 \)
注意:在命令行中使用括号时,一定要转义
3获取主机192.168.1.10除了和主机192.168.1.2之外所有主机通信的ip包
#tcpdump ip host 210.27.48.1 and ! 210.27.48.2
4.获取主机192.168.1.10接收或发出的http包,使用如下命令:
#tcpdump tcp port 80 host 192.168.1.10
网友评论