在linuxserver上,常常要定位网络问题,就须要用到抓包。
比如:tcpdump -X -s 0 host 10.17.81.22 and port 9999 -w /home/text.cap -i eth4
上面的意思是抓取和 10.17.81.22 server port9999进行通讯的全部(-X)不大小限制(-s 0)的网络包。并输出到文件 text.cap ,抓取网卡eth4.
tcpdump採用命令行方式,它的命令格式为:
tcpdump [ -adeflnNOpqStvx ] [ -c 数量 ] [ -F 文件名称 ]
[ -i 网络接口 ] [ -r 文件名称] [ -s snaplen ]
[ -T 类型 ] [ -w 文件名称 ] [表达式 ]
tcpdump的选项介绍:
-a 将网络地址和广播地址转变成名字;
-d 将匹配信息包的代码以人们可以理解的汇编格式给出;
-dd 将匹配信息包的代码以c语言程序段的格式给出;
-ddd 将匹配信息包的代码以十进制的形式给出;
-e 在输出行打印出数据链路层的头部信息;
-f 将外部的Internet地址以数字的形式打印出来;
-l 使标准输出变为缓冲行形式;
-n 不把网络地址转换成名字。
-t 在输出的每一行不打印时间戳。
-v 输出一个略微具体的信息,比如在ip包中能够包含ttl和服务类型的信息。
-vv 输出具体的报文信息;
-c 在收到指定的包的数目后。tcpdump就会停止。
-F 从指定的文件里读取表达式,忽略其他的表达式;
-i 指定监听的网络接口;
-r 从指定的文件里读取包(这些包一般通过-w选项产生);
-w 直接将包写入文件里。并不分析和打印出来;
-T 将监听到的包直接解释为指定的类型的报文,常见的类型有rpc (远程过程 调用)和snmp(简单 网络管理协议。)
-s 设置抓包限制大小。默认抓包限制大小在96个BYTE(包含以太网帧)。
改动參数为:-s 0。0 则忽略包的限制大小。按包的长度实际长度抓取。
更加深入的应用就靠大家多动手咯!记得前面说的man命令么!
man tcpdump!
linux:~ # man tcpdump
TCPDUMP(1) TCPDUMP(1)
NAME
tcpdump - dump traffic on a network
SYNOPSIS
tcpdump [ -AdDeflLnNOpqRStuUvxX ] [ -c count ]
[ -C file_size ] [ -F file ]
[ -i interface ] [ -m module ] [ -M secret ]
[ -r file ] [ -s snaplen ] [ -T type ] [ -w file ]
[ -W filecount ]
[ -E spi@ipaddr algo:secret,... ]
[ -y datalinktype ] [ -Z user ]
[ expression ]
介绍有点多。
。。
扫一扫
753
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
