Tcpdump命令的使用与示例——linux下的网络分析

来自：http://www.anheng.com.cn/news/24/586.html

数据采集分析工具TcpDump的简介 顾名思义，TcpDump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤，并提供and、or、not等逻辑语句来帮助你去掉无用的信息。tcpdump就是一种免费的网络分析工具，尤其其提供了源代码，公开了接口，因此具备很强的可扩展性，对于网络维护和入侵者都是非常有用的工具。tcpdump存在于基本的FreeBSD系统中，由于它需要将网络界面设置为混杂模式，普通用户不能正常执行，但具备root权限的用户可以直接执行它来获取网络上的信息。因此系统中存在网络分析工具主要不是对本机安全的威胁，而是对网络上的其他计算机的安全存在威胁。 我们用尽量简单的话来定义tcpdump，就是：dump the traffice on a network.，根据使用者的定义对网络上的数据包进行截获的包分析工具。作为互联网上经典的的系统管理员必备工具，tcpdump以其强大的功能，灵活的截取策略，成为每个高级的系统管理员分析网络，排查问题等所必备的东西之一。tcpdump提供了源代码，公开了接口，因此具备很强的可扩展性，对于网络维护和入侵者都是非常有用的工具。tcpdump存在于基本的FreeBSD系统中，由于它需要将网络界面设置为混杂模式，普通用户不能正常执行，但具备root权限的用户可以直接执行它来获取网络上的信息。因此系统中存在网络分析工具主要不是对本机安全的威胁，而是对网络上的其他计算机的安全存在威胁。 网络数据采集分析工具TcpDump的安装 http://anheng.com/news/24/586.html  在 linux下 tcpdump的安装十分简单，一般由两种安装方式。一种是以rpm包的形式来进行安装。另外一种是以源程序的形式安装。 http://anheng.com/news/24/586.html  rpm包的形式安装：这种形式的安装是最简单的安装方法，rpm包是将软件编译后打包成二进制的格式，通过rpm命令可以直接安装，不需要修改任何东西。以超级用户登录，使用命令如下： #rpm -ivh tcpdump-3_4a5.rpm http://anheng.com/news/24/586.html  这样 tcpdump就顺利地安装到你的 linux系统中。怎么样，很简单吧。 源程序的安装：既然rpm包的安装很简单,为什么还要采用比较复杂的源程序安装呢?其实，linux一个最大的诱人之处就是在她上面有很多软件是提供源程序的，人们可以修改源程序来满足自己的特殊的需要。所以我特别建议朋友们都采取这种源程序的安装方法。 第一步 取得源程序 在源程序的安装方式中，我们首先要取得tcpdump的源程序分发包，这种分发包有两种形式，一种是tar压缩包(tcpdump-3_4a5.tar.Z),另一种是rpm的分发包(tcpdump-3_4a5.src.rpm)。这两种形式的内容都是一样的，不同的仅仅是压缩的方式.tar的压缩包可以使用如下命令解开： #tar xvfz tcpdump-3_4a5.tar.Z rpm的包可以使用如下命令安装: #rpm -ivh tcpdump-3_4a5.src.rpm 这样就把tcpdump的源代码解压到/usr/src/redhat/SOURCES目录下. 第二步 做好编译源程序前的准备活动 在编译源程序之前，最好已经确定库文件libpcap已经安装完毕，这个库文件是tcpdump软件所需的库文件。同样，你同时还要有一个标准的c语言编译器。在linux下标准的c 语言编译器一般是gcc。 在tcpdump的源程序目录中。有一个文件是Makefile.in，configure命令就是从Makefile.in文件中自动产生Makefile文件。在Makefile.in文件中，可以根据系统的配置来修改BINDEST 和 MANDEST 这两个宏定义，缺省值是 BINDEST = @sbindir@ MANDEST = @mandir@ 第一个宏值表明安装tcpdump的二进制文件的路径名，第二个表明tcpdump的man 帮助页的路径名,你可以修改它们来满足系统的需求。 第三步 编译源程序 使用源程序目录中的configure脚本，它从系统中读出各种所需的属性。并且根据Makefile.in文件自动生成Makefile文件，以便编译使用.make 命令则根据Makefile文件中的规则编译tcpdump的源程序。使用make install命令安装编译好的tcpdump的二进制文件。 总结一下就是: # tar xvfz tcpdump-3_4a5.tar.Z # vi Makefile.in # . /configure # make # make install 3 网络数据采集分析工具TcpDump的使用 http://anheng.com/news/24/586.html      普通情况下，直接启动 tcpdump将监视第一个网络界面上所有流过的数据包。 # tcpdump tcpdump: listening on fxp0 11:58:47.873028 202.102.245.40.netbios-ns > 202.102.245.127.netbios-ns: udp 50 11:58:47.974331 0:10:7b:8:3a:56 > 1:80:c2:0:0:0 802.1d ui/C len=43                          0000 0000 0080 0000 1007 cf08 0900 0000                          0e80 0000 902b 4695 0980 8701 0014 0002                          000f 0000 902b 4695 0008 00 11:58:48.373134 0:0:e8:5b:6d:85 > Broadcast sap e0 ui/C len=97                          ffff 0060 0004 ffff ffff ffff ffff ffff                          0452 ffff ffff 0000 e85b 6d85 4008 0002                          0640 4d41 5354 4552 5f57 4542 0000 0000                          0000 00 ^C     tcpdump支持相当多的不同参数，如使用-i参数指定tcpdump监听的网络界面，这在计算机具有多个网络界面时非常有用，使用-c参数指定要监听的数据包数量，使用-w参数指定将监听到的数据包写入文件中保存，等等。     然而更复杂的tcpdump参数是用于过滤目的，这是因为网络中流量很大，如果不加分辨将所有的数据包都截留下来，数据量太大，反而不容易发现需要的数据包。使用这些参数定义的过滤规则可以截留特定的数据包，以缩小目标，才能更好的分析网络中存在的问题。tcpdump使用参数指定要监视数据包的类型、地址、端口等，根据具体的网络问题，充分利用这些过滤规则就能达到迅速定位故障的目的。请使用mantcpdump查看这些过滤规则的具体用法。     显然为了安全起见，不用作网络管理用途的计算机上不应该运行这一类的网络分析软件，为了屏蔽它们，可以屏蔽内核中的bpfilter伪设备。一般情况下网络硬件和TCP/IP堆栈不支持接收或发送与本计算机无关的数据包，为了接收这些数据包，就必须使用网卡的混杂模式，并绕过标准的TCP/IP堆栈才行。在FreeBSD下，这就需要内核支持伪设备bpfilter。因此，在内核中取消bpfilter支持，就能屏蔽tcpdump之类的网络分析工具。     并且当网卡被设置为混杂模式时，系统会在控制台和日志文件中留下记录，提醒管理员留意这台系统是否被用作攻击同网络的其他计算机的跳板。     May 15 16:27:20 host1 /kernel: fxp0: promiscuous mode enabled     虽然网络分析工具能将网络中传送的数据记录下来，但是网络中的数据流量相当大，如何对这些数据进行分析、分类统计、发现并报告错误却是更关键的问题。网络中的数据包属于不同的协议，而不同协议数据包的格式也不同。因此对捕获的数据进行解码，将包中的信息尽可能的展示出来，对于协议分析工具来讲更为重要。昂贵的商业分析工具的优势就在于它们能支持很多种类的应用层协议，而不仅仅只支持tcp、udp等低层协议。     从上面tcpdump的输出可以看出，tcpdump对截获的数据并没有进行彻底解码，数据包内的大部分内容是使用十六进制的形式直接打印输出的。显然这不利于分析网络故障，通常的解决办法是先使用带-w参数的tcpdump 截获数据并保存到文件中，然后再使用其他程序进行解码分析。当然也应该定义过滤规则，以避免捕获的数据包填满整个硬盘。FreeBSD提供的一个有效的解码程序为tcpshow，它可以通过Packages Collection来安装。 # pkg_add /cdrom/packages/security/tcpshow* # tcpdump -c 3 -w tcpdump.out tcpdump: listening on fxp0 # tcpshow < tcpdump.out --------------------------------------------------------------------------- Packet 1 TIME:12:00:59.984829 LINK:00:10:7B:08:3A:56 -> 01:80:C2:00:00:00 type=0026 <*** No decode support for encapsulated protocol ***> --------------------------------------------------------------------------- Packet 2 TIME:12:01:01.074513 (1.089684) LINK:00:A0:C9:AB:3C:DF -> FF:FF:FF:FF:FF:FF type=ARP ARP:htype=Ethernet ptype=IP hlen=6 plen=4 op=request sender-MAC-addr=00:A0:C9:AB:3C:DF sender-IP-address=202.102.245.3 target-MAC-addr=00:00:00:00:00:00 target-IP-address=202.102.245.3 --------------------------------------------------------------------------- Packet 3 TIME:12:01:01.985023 (0.910510) LINK:00:10:7B:08:3A:56 -> 01:80:C2:00:00:00 type=0026 <*** No decode support for encapsulated protocol ***>     tcpshow能以不同方式对数据包进行解码，并以不同的方式显示解码数据，使用者可以根据其手册来选择最合适的参数对截获的数据包进行分析。从上面的例子中可以看出，tcpshow支持的协议也并不丰富，对于它不支持的协议就无法进行解码。     除了tcpdump之外，FreeBSD的Packages Collecion中还提供了Ethereal和Sniffit两个网络分析工具，以及其他一些基于网络分析方式的安全工具。其中Ethereal运行在X Window 下，具有不错的图形界面，Sniffit使用字符窗口形式，同样也易于操作。然而由于tcpdump对过滤规则的支持能力更强大，因此系统管理员仍然更喜欢使用它。对于有经验的网络管理员，使用这些网络分析工具不但能用来了解网络到底是如何运行的，故障出现在何处，还能进行有效的统计工作，如那种协议产生的通信量占主要地位，那个主机最繁忙，网络瓶颈位于何处等等问题。因此网络分析工具是用于网络管理的宝贵系统工具。为了防止数据被滥用的网络分析工具截获，关键还是要在网络的物理结构上解决。常用的方法是使用交换机或网桥将信任网络和不信任网络分隔开，可以防止外部网段窃听内部数据传输，但仍然不能解决内部网络与外部网络相互通信时的数据安全问题。如果没有足够的经费将网络上的共享集线器升级为以太网交换机，可以使用FreeBSD系统执行网桥任务。这需要使用option BRIDGE编译选项重新定制内核，此后使用bridge命令启动网桥功能。 tcpdump采用命令行方式，它的命令格式为：     　　tcpdump [ -adeflnNOpqStvx ] [ -c 数量 ] [ -F 文件名 ] 　　　　　　　　　　[ -i 网络接口 ] [ -r 文件名] [ -s snaplen ] 　　　　　　　　　　[ -T 类型 ] [ -w 文件名 ] [表达式 ] http://anheng.com/news/24/586.html  (1). tcpdump的选项介绍 http://anheng.com/news/24/586.html  　　　-a 　　　将网络地址和广播地址转变成名字； 　　　-d 　　　将匹配信息包的代码以人们能够理解的汇编格式给出； 　　　-dd 　　 将匹配信息包的代码以c语言程序段的格式给出； 　　　-ddd 　　将匹配信息包的代码以十进制的形式给出； 　　　-e 　　　在输出行打印出数据链路层的头部信息； 　　　-f 　　　将外部的Internet地址以数字的形式打印出来； 　　　-l 　　　使标准输出变为缓冲行形式； 　　　-n 　　　不把网络地址转换成名字； 　　　-t 　　　在输出的每一行不打印时间戳； 　　　-v 　　　输出一个稍微详细的信息，例如在ip包中可以包括ttl和服务类型的信息； 　　　-vv 　　 输出详细的报文信息； 　　　-c 　　　在收到指定的包的数目后， tcpdump就会停止； 　　　-F 　　　从指定的文件中读取表达式,忽略其它的表达式； 　　　-i 　　　指定监听的网络接口； 　　　-r 　　　从指定的文件中读取包(这些包一般通过-w选项产生)； 　　　-w 　　　直接将包写入文件中，并不分析和打印出来； 　　　-T 　　　将监听到的包直接解释为指定的类型的报文，常见的类型有rpc （远程过程调用）和snmp（简单网络管理协议；） (2). tcpdump的表达式介绍 http://anheng.com/news/24/586.html      表达式是一个正则表达式， tcpdump利用它作为过滤报文的条件，如果一个报文满足表达式的条件，则这个报文将会被捕获。如果没有给出任何条件，则网络上所有的信息包将会被截获。在表达式中一般如下几种类型的关键字。 http://anheng.com/news/24/586.html      第一种是关于类型的关键字，主要包括host，net，port, 例如 host 210.27.48.2，指明 210.27.48.2是一台主机，net 202.0.0.0 指明 202.0.0.0是一个网络地址，port 23 指明端口号是23。如果没有指定类型，缺省的类型是host. http://anheng.com/news/24/586.html      第二种是确定传输方向的关键字，主要包括src , dst ,dst or src, dst and src ,这些关键字指明了传输的方向。举例说明，src 210.27.48.2 ,指明ip包中源地址是210.27.48.2 , dst net 202.0.0.0 指明目的网络地址是202.0.0.0 。如果没有指明方向关键字，则缺省是src or dst关键字。 http://anheng.com/news/24/586.html      第三种是协议的关键字，主要包括fddi,ip,arp,rarp,tcp,udp等类型。Fddi指明是在FDDI(分布式光纤数据接口网络)上的特定的网络协议，实际上它是"ether"的别名，fddi和ether具有类似的源地址和目的地址，所以可以将fddi协议包当作ether的包进行处理和分析。其他的几个关键字就是指明了监听的包的协议内容。如果没有指定任何协议，则 tcpdump将会监听所有协议的信息包。     除了这三种类型的关键字之外，其他重要的关键字如下：gateway, broadcast,less,greater,还有三种逻辑运算，取非运算是 'not ' '! ', 与运算是'and','&&';或运算 是'or' ,'││'；这些关键字可以组合起来构成强大的组合条件来满足人们的需要，下面举几个例子来说明。 http://anheng.com/news/24/586.html      A想要截获所有210.27.48.1 的主机收到的和发出的所有的数据包： # tcpdump host 210.27.48.1 B想要截获主机210.27.48.1 和主机210.27.48.2 或210.27.48.3的通信，使用命令：（在命令行中适用　　　括号时，一定要 # tcpdump host 210.27.48.1 and \ (210.27.48.2 or 210.27.48.3 \) C如果想要获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包，使用命令： # tcpdump ip host 210.27.48.1 and ! 210.27.48.2 D如果想要获取主机210.27.48.1接收或发出的telnet包，使用如下命令： # tcpdump tcp port 23 host 210.27.48.1 (3). tcpdump的输出结果介绍 协议输出格式 tcpdump 命令的输出随协议而定。下面是大多数输出格式的简要描述和示例。 TCP 信息包 TCP 协议行的通用格式为： src > dst: flags data-seqno ack win urg options 在下列字段列表中， src、 dst 和 flags 一直存在。其它字段取决于信息包的 TCP 协议头的内容，并仅在适当的时候输出。 src 指示源（主机）地址和端口。总是指定 src 字段。 dst 指示目的地址和端口。dst字段总是被指定。 flags 指定标志 S（SYN）、F（FIN）、P（PUSH）或 R（RST）的组合或单个.（句点）来指示没有标记。总是指定 flags 字段。 data-seqno 描述该信息包中数据占据的序列空间部分（请参阅下面示例）。 ack 指定（通过应答）在该连接的其它方向上预期的下一数据的序列号。 win 指定该连接的其它方向上可用的接收缓冲空间的字节数。 urg 指示该信息包中有紧急数据。 options 指定在尖括号中的 TCP 选项（例如：< mss 1024>）。 rlogin 命令从主机 gil 到主机 devo 的开始部分为： gil.1023 > devo.login:S 768512:768512(0) win 4096 <mss 1024> devo.login > gil.1023:S 947648:947648(0) ack 768513 win 4096 <mss 1024> gil.1023 > devo.login: . ack 1 win 4096 gil.1023 > devo.login: P 1:2(1) ack 1 win 4096 devo.login > gil.1023: ack 2 win 4096 gil.1023 > devo.login: P 2:21(19) ack 1 win 4096 devo.login > gil.1023: P 1:2(1) ack 21 win 4077 devo.login > gil.1023: P 2:3(1) ack 21 win 4077 urg 1 devo.login > gil.1023: P 3:4(1) ack 21 win 4077 urg 1 第一行是指主机 gil 上的 TCP 端口 1023 向主机  devo 的 登录端口发送一个信息包。这个 S 表明已经设置 SYN 标志。信息包的序列号为 768512，它不含数据。(标记“first:last（nbytes）”意味着“序列号 first 上限可达但不包含 last，即用户数据为 nbytes 字节”。）不含带外部关联的 ack 字段，可用接收字段 win 为 4096 字节，并且最大段大小（mss）选项要求 1024 字节的 mss。 主机 Devo 以一个类似的包答复，但该信息包内含有一个有外部关联 ack 字段，用于主机 gil的 SYN。然后，主机 gil 应答主机 devo 的 SYN。. (句点)表示没有设置标志。该信息包不含数据，所以也就没有数据序列号。 注： ack 字段序列号为一个小整数（1）。 当 tcpdump 第一次遇到 TCP 对话时，它从该信息包中打印序列号。在随后的对话信息包中，打印了当前信息包的序列号与该初始序列号的差异。这意味着第一个之后的序列号可以解释为对话数据流中的相对字节位置（每个方向的第一个数据字节为 1）。 -S标记覆盖该特性，并导致输出原序列号。 在第六行，主机 gil 发送给主机 devo 19 字节的数据（在 gil-devo 对话侧的第 2 字节到第 20 字节）。在信息包内设置了 PUSH 标志。在第七行，主机 devo 声称它收到了主机 gil 发送的上限可达到但不包含第 21 字节的数据。因为 devo 的接收窗口收到较小的 19 字节，这一数据的大部分显然位于套接字缓冲区。主机 devo 还发送其信息包内的一个字节的数据给主机 gil。在第八、九行，主机 devo 发送两字节的 urgent PUSH 数据到主机 gil。 UDP 信息包 该 rwho 命令信息包说明 UDP 格式： devo.who > bevo.who: udp 84 该命令序列说明主机 devo 的端口 who 发送一个 udp 数据报给主机 bevo 的端口 who。该信息包内含有 84 字节的用户数据。 一些 UDP 服务（从源或目的地端口号）可被识别，并且打印出更高层的协议信息。尤其是域名服务请求（RFC-1034/1035）和到 NFS 的 Sun RPC 呼叫（RFC-1050）。 UDP 名称服务器请求 名称服务器请求格式为： src > dst: id op? flags qtype qclass name (len) 除了上述字段，UDP 名称服务器请求包含以下内容： id 指定查询的标识号。 op 指定操作类型。缺省为查询操作。 qclass name (len) 下面是名称服务器的请求示例： tnegev.1538 > tnubia.domain: 3+ A? austin.ibm.com. (37) 主机 tnegev 向 tnubia 上的域服务器询问与名称 austin.ibm.com 关联的地址记录（ qtype=A）。查询 id 为 3。+（加号）表示已经设置递归要求标志。查询长度为 37 字节，不包含 UDP 和 IP 协议头。查询为标准操作 Query，所以省略 op 字段。如果 op 为其它值，它会在 3 和 + 之间打印出来。类似地，qclass 为一标准类（ C_IN) 也被省略。任何其它 qclass 会直接在 A 之后打印出来。 会检查一些异常，这可能会使方括号内包含额外的字段。如果查询包含应答、名称服务器或权限段，则 ancount、nscount 或 arcount 打印为 na]，[nn] 或 [nau]，其中 n 为适当的计数。如果设置了任一响应位（AA，RA，或 rcode）或者设置了字节 2 和 3 的任意“必须为零”位，[b2&3=x] 会被打印出来，其中 x 是头字节 2 和 3 的十六进制值。 UDP 名称服务器响应 名称服务器响应格式为： src > dst: id op rcode flags a/n/au type class data (len) 除以上所述字段外，UDP 名称服务器响应包括以下内容： rcode data 下面是名称服务器响应的一个示例： tnubia.domain > tnegev.1538: 3 3/3/7 A 129.100.3 tnubia.domain > tnegev.1537: 2 NXDomain* 0/1/0 (97) 在第一个示例中，tnubia 以 3 回答记录、3 名称服务器记录和 7 权限记录响应来自 tnegev 的查询 3。第一个回答记录为 A 类（地址），其数据为 internet 地址 129.100.100.3。响应共计 273 字节，不含 UDP 和 IP 头。与 A 记录的类（C_IN）的情形相似，省略了 op（Query）和响应代码（NoError）。 在第二个示例中，tnubia 以一个不存在的域的响应代码（NXDomain）和 0 回答记录，1 名称服务器记录和 0 权限记录响应查询 2。* （星号）表示设置了授权回答位。因为没有回答，所以不打印类型、类或数据。 其它可能显示的标志字符有 -（递归可用，RA，未设置）和 |（截断的消息，TC，已设置）。 注：名称服务器请求和响应可能很大，80 字节的缺省 snaplen 有可能不能捕捉足够的信息包以打印。如果需要调查大量的名称服务器流量，用 -s 标志来增加 snaplen。 NFS 请求 Sun NFS（网络文件系统）请求与答复的格式为： src.xid > dst.nfs: len op args src.nfs > dst.xid: reply stat len 除以上所述字段外，NFS 请求和响应包括以下这些字段： args 指定目录文件 $file handle$。 reply stat 表示操作的响应状态。 下面是 NFS 请求与响应的一个示例： L1.e2766 > L2.nfs: 136 readdir fh 6.5197 8192 bytes @ 0 L2.nfs > L1.e2766: reply ok 384 L1.e2767 > L2.nfs: 136 lookup fh 6.5197 `RCS' 在第一行，主机 L1 发送一个 id 为 e2766 的事务到 L2（注意，src 主机后面的数字是事务号，而非源端口）。请求为 136 字节，不含 UDP 和 IP 头。操作为在文件句柄（fh）6.5197 上的 readir（读目录）。开始于偏移量0，8192 字节被读取。L2 以 384 字节数据应答 ok。 在第三行，L1 要求 L2 在目录文件 6.5197 中查询名称“RCS”。注意：打印的数据取决于操作类型。 注：NFS 请求非常大，除非增加 snaplen，否则以上内容不会打印出来。用标记 -s 192 观察 NFS 流量。 ARP/RARP 信息包 地址解析协议／反向地址解析协议（ARP/RARP）输出表示请求的类型和其参数。下面的示例显示了从主机 devo 到主机 bevo 的 rlogin 命令的启动： arp who-has bevo tell devo arp reply bevo is-at 1d:2d:3d:4d:5d:6d 第一行是 devo 发送了一个 ARP 包，询问因特网主机 bevo 的以太网地址。在第二行，bevo 以它的以太网地址答复。 IP 片断 片断因特网数据报打印如下： (frag id:size@offset+) (frag id:size@offset) 第一个表单表明有更多的片断。第二个表明这是最后的片断。IP 片断有以下字段 id 标识片断。 size 指定片断大小（按字节）包括 IP 头。 offset 指定原数据报中的片断偏移量（按字节）。 片断信息按每一片断输出。第一片断包括较高层的协议报头而片断信息在协议信息之后打印。第一个之后的片断不包含更高层的协议头，而片断信息在源和目的地地址之后打印。例如一个 ping echo/reply 序列： gil > devo: icmp: echo request (frag 34111: 1480@0+) gil > devo: (frag 34111!28@1480) devo > gil: icmp: echo reply (frag 15314:148@0+) 一个带“请勿拆分” IP 标志的信息包以一个（DF）在结尾标记。 时间戳 缺省情况下，所有输出行前置一个时间戳。时间戳为表单内的当前时钟时间。hh:mm:ss.frac并且与内核的时钟一样精确。时间戳反映了内核第一次发现包的时间。没有尝试去说明以太网接口从线上除去信息包到内核服务新信息包中断之间的时间迟延。标志 http://anheng.com/news/24/586.html      下面我们介绍几种典型的 tcpdump命令的输出信息 http://anheng.com/news/24/586.html  A,数据链路层头信息 http://anheng.com/news/24/586.html  使用命令 # tcpdump --e host ice ice 是一台装有 linux的主机，她的MAC地址是0：90：27：58：AF：1A H219是一台装有SOLARIC的SUN工作站，它的MAC地址是8：0：20：79：5B：46；上一条命令的输出结果如下所示： 21:50:12.847509 eth0 < 8:0:20:79:5b:46 0:90:27:58:af:1a ip 60: h219.33357 > ice.telne t 0:0(0) ack 22535 win 8760 (DF)     分析：21：50：12是显示的时间， 847509是ID号，eth0 <表示从网络接口eth0 接受该数据包，eth0 >表示从网络接口设备发送数据包, 8:0:20:79:5b:46是主机H219的MAC地址,它表明是从源地址H219发来的数据包. 0:90:27:58:af:1a是主机ICE的MAC地址,表示该数据包的目的地址是ICE . ip 是表明该数据包是IP数据包,60 是数据包的长度, h219.33357 > ice.telnet 表明该数据包是从主机H219的33357端口发往主机ICE的TELNET(23)端口. ack 22535 表明对序列号是222535的包进行响应. win 8760表明发送窗口的大小是8760. B,ARP包的TCPDUMP输出信息 http://anheng.com/news/24/586.html  使用命令 # tcpdump arp 得到的输出结果是： 22:32:42.802509 eth0 > arp who-has route tell ice (0:90:27:58:af:1a) 22:32:42.802902 eth0 < arp reply route is-at 0:90:27:12:10:66 (0:90:27:58:af:1a) 分析: 22:32:42是时间戳, 802509是ID号, eth0 >表明从主机发出该数据包, arp表明是ARP请求包, who-has route tell ice表明是主机ICE请求主机ROUTE的MAC地址。 0:90:27:58:af:1a是主机ICE的MAC地址。 C,TCP包的输出信息 http://anheng.com/news/24/586.html      用TCPDUMP捕获的TCP包的一般输出信息是： src > dst: flags data-seqno ack window urgent options src > dst:表明从源地址到目的地址, flags是TCP包中的标志信息,S 是SYN标志, F (FIN), P (PUSH) , R (RST) "." (没有标记); data-seqno是数据包中的数据的顺序号, ack是下次期望的顺序号, window是接收缓存的窗口大小, urgent表明数据包中是否有紧急指针. Options是选项. D,UDP包的输出信息 http://anheng.com/news/24/586.html      用TCPDUMP捕获的UDP包的一般输出信息是： route.port1 > ice.port2: udp lenth UDP十分简单，上面的输出行表明从主机ROUTE的port1端口发出的一个UDP数据包到主机ICE的port2端口，类型是UDP， 包的长度是lenth 责任编辑: admin