各個(gè)OS下抓包方法.doc_第1頁(yè)
各個(gè)OS下抓包方法.doc_第2頁(yè)
各個(gè)OS下抓包方法.doc_第3頁(yè)
各個(gè)OS下抓包方法.doc_第4頁(yè)
各個(gè)OS下抓包方法.doc_第5頁(yè)
全文預(yù)覽已結(jié)束

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

使用命令:tcpdump -i eth1 -s 0 -C 2 -w jh.cap-I eth1: 是指定網(wǎng)卡 ,2 : 是2兆一個(gè)文件;Jh.cap : 是文件名. 后面會(huì)跟一個(gè)數(shù)字自動(dòng)加1linux: tcpdump host 35 s 5000 -w log / -s 5000 很重要例:isap-1-10: # tcpdump host 02 -s 0 -w xxx.captcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes7 packets captured14 packets received by filter0 packets dropped by kerneltcpdump -i eth2 -s 0 -w 04141401.cap host 74 and port 8886例isap-1-10: # tcpdump -i eth0 -s 0 -w yyy.captcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes218 packets captured436 packets received by filter0 packets dropped by kernelisap-1-10: # tcpdump -i eth0 -s 0 -w yyy.cap port 8803tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes0 packets captured0 packets received by filter0 packets dropped by kerneleth2 是 74 的”網(wǎng)卡名”, 使用 ifconfig 查看表示抓含有地址為35的包tcpdump -i eth0 -s 1500 -w a.dmp 這個(gè)語(yǔ)句機(jī)會(huì)可以在任何情況下使用。簡(jiǎn)單解釋一下,-i eth0是在eth0接口上監(jiān)聽(tīng), -s 1500是一個(gè)很重要的參數(shù),它指抓取的數(shù)據(jù)包的前1500個(gè)字節(jié),否則你可能只能看到數(shù)據(jù)包的前68個(gè)字節(jié),因?yàn)閠cpdump的默認(rèn)抓取長(zhǎng)度是68,w a.dmp是表示把抓取的數(shù)據(jù)寫入a.dmp中。抓取介紹后,CtlC,你可以看到a.dmp已經(jīng)生成。然后用sftp傳到本機(jī)使用Ethereal解析。tcpdump -i 網(wǎng)卡 -s 5000 -w xx.cap port 端口號(hào)此處網(wǎng)卡必須是 ethx 不能是 ip要以root 用戶操作. sun: snoopsnoop -d 網(wǎng)卡名 -xo -ta -o 存放路徑/文件名 host or port(可用 host or port, 也可以是 host and port )使用 ifconfig a , 然后根據(jù)ip 獲得網(wǎng)卡名.ibm:iptrace - i en0 -p telnet -s airmail /tmp/telnet.traceiptrace 0711.trace0711.trace是文件名在aix上用了iptrace過(guò)后,tcpdump就用不了了,提示:tcpdump: BIOCSETIF: en1: Do not specify an existing file.已經(jīng)kill-9 將iptrace進(jìn)程殺死。我曾經(jīng)看到過(guò)一個(gè)帖子,說(shuō)kill-9 iptrace進(jìn)程后,需運(yùn)行iptrace -u才能用tcpdump,但是我運(yùn)行iptrace -u,提示iptrace: Cant turn off tracing對(duì)AIX不熟,哪位大哥幫我看看啊,謝謝HP-UX上使用tcpdump抓包的方法!1.檢查是否有tcpdump軟件,如果沒(méi)有則安裝tcpdump軟件,軟件在hpl3000上有2.抓包# netstat -in看現(xiàn)在用的是那個(gè)網(wǎng)卡,假如用的是lan0#tcpdump -i lan0 -w /tmp/lan0.tcpdump.log -x -vv tcp port 53運(yùn)行一小時(shí)后按C中斷注意:運(yùn)行過(guò)程要監(jiān)控一下/tmp的使用率,如果/tmp上升得太快則需要馬上中斷抓包進(jìn)程。3.格式化包輸出# tcpdump -nq -r /tmp/lan0.tcpdump.log.bak /tmp/output.tcpdump.log然后把/tmp/output.tcpdump.log提供出來(lái)就可以Sun Solaris 補(bǔ)充在Solaris系統(tǒng)上抓包Snoop是Solaris系統(tǒng)中自帶的工具,是一個(gè)用于顯示網(wǎng)絡(luò)通訊的程序,它可捕獲IP 包并將其顯示或保存到指定文件。 (限超級(jí)用戶使用snoop) Snoop可將捕獲的包以一行的形式加以總結(jié)或用多行加以詳細(xì)的描述(有調(diào)用不同的參數(shù)v -V來(lái)實(shí)現(xiàn))。在總結(jié)方式下(-V ) ,將僅顯示最高層的相關(guān)協(xié)議,例如一個(gè)NFS 包將僅顯示NFS信息,其低層的RPC、UDP、 IP、Ethernet幀信息將不會(huì)顯示,但是當(dāng)加上相應(yīng)的參數(shù)(-v ),這些信息都能被顯示出來(lái)。參數(shù)簡(jiǎn)介: -a # Listen to packets on audio -d device # settable to le?, ie?, bf?, tr? -s snaplen # Truncate packets -c count # Quit after count packets -P # Turn OFF promiscuous mode -D # Report dropped packets -S # Report packet size -i file # Read previously captured packets -o file # Capture packets in file -n file # Load addr-to-name table from file -N # Create addr-to-name table -t r|a|d # Time: Relative, Absolute or Delta -v # Verbose packet display -V # Show all summary lines -p first,last # Select packet(s) to display -x offset,length # Hex dump from offset for length -C # Print packet filter code 由于snoop的使用非常靈活,希望能通過(guò)下面一些例子的學(xué)習(xí)來(lái)其常見(jiàn)用法。1、監(jiān)聽(tīng)所有以本機(jī)為源和目的的包并將其顯示出來(lái)。# snoop 2、監(jiān)聽(tīng)所有以主機(jī)A為源和目的的包并將其顯示出來(lái)(A為主機(jī)名, 下同)。# snoop A 3、監(jiān)聽(tīng)所有A和B之間的包并將其保存到文件file。# snoop -o file A B 4、顯示文件file 中指定的包(99-108) 。# snoop - i file -p 99,108 99 0.0027 boutique - sunroof NFS C GETATTR FH=8E6C 100 0.0046 sunroof - boutique NFS R GETATTR OK 101 0.0080 boutique - sunroof NFS C RENAME FH=8E6C MTra00192 to .nfs08 102 0.0102 marmot - viper NFS C LOOKUP FH=561E screen.r.13.i386 103 0.0072 viper - marmot NFS R LOOKUP No such file or directory 104 0.0085 bugbomb - sunroof RLOGIN C PORT=1023 h 105 0.0005 kandinsky - sparky RSTAT C Get Statistics 106 0.0004 beeblebrox - sunroof NFS C GETATTR FH=0307 107 0.0021 sparky - kandinsky RSTAT R 108 0.0073 office - jeremiah NFS C READ FH=2584 at 40960 for 8192 5、詳細(xì)查看文件file中第101個(gè)包。# snoop - i file - v -p101 ETHER: - Ether Header - ETHER: ETHER: Packet 101 arrived at 16:09:53.59 ETHER: Packet size = 210 bytes ETHER: Destination = 8:0:20:1:3d:94, Sun ETHER: Source = 8:0:69:1:5f:e, Silicon Graphics ETHER: Ethertype = 0800 (IP) ETHER: IP: - IP Header - IP: IP: Version = 4, header length = 20 bytes IP: Type of service = 00 IP: .0. . = routine IP: .0 . = normal delay IP: . 0. = normal throughput IP: . .0. = normal reliability IP: Total length = 196 bytes IP: Identification 19846 IP: Flags = 0X IP: .0. . = may fragment IP: .0. . = more fragments ? - 3 - ? 6、查看主機(jī)A和主機(jī)B之間的NFS包(命令中的and 和or 為相應(yīng)的邏輯運(yùn)算) # snoop - i file rpc nfs and A and B 1 0.0000 A - B NFS C GETATTR FH=8E6C 2 0.0046 B - A NFS R GETATTR OK 3 0.0080 A - B NFS C RENAME FH=8E6C MTra00192 to .nfs08 7、將這些符合條件的包保存到另一文件file2 中: # snoop - i file -o file2 rpc nfs A B 8、監(jiān)聽(tīng)主機(jī)A和主機(jī)B間所有TCP 80 端口或UDP80端口的包 # snoop A and B and (tcp or udp) and port 80 9、監(jiān)聽(tīng)所有的廣播包 #

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論