Linux及AIX下的抓包工具及使用注意事项

最新推荐文章于 2024-10-10 11:45:31 发布
最新推荐文章于 2024-10-10 11:45:31 发布
阅读量1.9k 收藏 6
点赞数 4
分类专栏: 抓包 文章标签: 抓包 linux抓包 aix抓包 aix tcpdump
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wswokao/article/details/89341635
版权

最近工作遇到非Web、CS端的系统,无从下手,后查阅资料使用后在此记录:

Linux(RedHat,Centos)

一般系统自带tcpdump ,若未安装使用 yum install tcpdump 进行安装。

常用用法如下:

tcpdump -i lo 

抓取本地数据

tcpdump -i eth1 host  192.168.0.1
抓取指定经过eth0网卡,IP为192.168.0.1的数据 

过滤端口: 
tcpdump -i eth0 src port 80
抓取所有经过网卡0,源端口为80的网络数据 

过滤端口: 
tcpdump -i eth0 dst port 80
抓取所有经过网卡0,目的端口为80的网络数据 

过滤特定协议: 
tcpdump -i eth0 tcp
抓取所有经过网卡0,协议类型为tcp的网络数据 

抓包存取: 
tcpdump -i eth0 host 192.168.0.1 and port 80 -w  test.pcap
抓取所有经过网卡0,目的主机为192.168.0.1的且端口80的数据并保存为wireshark可识别的数据包格式

具体参数说明

  • -a 尝试将网络和广播地址转换成名称。
  • -c<数据包数目> 收到指定的数据包数目后,就停止进行倾倒操作。
  • -d 把编译过的数据包编码转换成可阅读的格式,并倾倒到标准输出。
  • -dd 把编译过的数据包编码转换成C语言的格式,并倾倒到标准输出。
  • -ddd 把编译过的数据包编码转换成十进制数字的格式,并倾倒到标准输出。
  • -e 在每列倾倒资料上显示连接层级的文件头。
  • -f 用数字显示网际网络地址。
  • -F<表达文件> 指定内含表达方式的文件。
  •  -i<网络界面> 使用指定的网络截面送出数据包。
  • -l 使用标准输出列的缓冲区。
  • -n 不把主机的网络地址转换成名字。
  • -N 不列出域名。
  • -O 不将数据包编码最佳化。
  • -p 不让网络界面进入混杂模式。
  • -q 快速输出,仅列出少数的传输协议信息。
  • -r<数据包文件> 从指定的文件读取数据包数据。
  • -s<数据包大小> 设置每个数据包的大小。
  • -S 用绝对而非相对数值列出TCP关联数。
  • -t 在每列倾倒资料上不显示时间戳记。
  • -tt 在每列倾倒资料上显示未经格式化的时间戳记。
  • -T<数据包类型> 强制将表达方式所指定的数据包转译成设置的数据包类型。
  • -v 详细显示指令执行过程。
  • -vv 更详细显示指令执行过程。
  • -x 用十六进制字码列出数据包资料。
  • -w<数据包文件> 把数据包数据写入指定的文件。

 

AIX 

AIX也可以使用tcpdump来进行抓包使用,使用方法如上所述,但有些老旧版本的AIX不能使用,故使用iptrace,用法个别不同。

iptrace:

iptrace 抓包:

格式:

iptrace [ -a ] [ -b ][ -e ] [ -u ] [ -PProtocol_list ] [ -iInterface ] [ -pPort_list ] [ -sHost [ -b ] ] [ -dHost ] [ -L Log_size ] LogFile

实例:

iptrace -i en0   test.cap

抓取指定经过eth0网卡,保存在test.cap中,与tcpdump不同的是不用-w存储

iptrace -a -b -d 10.1.1.1 -p 23  test.cap

抓取目的ip为10.1.1.1,端口为23的数据包 

结束抓包:
ps -ef | grep iptrace

查询进程


kill -9 iptrace进程ID 

结束进程

详细参数:

-a

抑制 ARP 包。

-b

把标志 -d 或 -s 变换成双向方式。

-d Host

记录以由 Host 变量指定的目的地主机指定为报头的信息包。Host 变量 能够作为一个主机名或由点隔开的十进制格式因特网地址。

如果使用 -b 标志,-d 标志 记录由 Host 变量指定的主机进出的信息包。

-e

启用支持混合模式的网络适配器的混合模式功能。

-i Interface

记录在由 Interface 变量指定的接口上接收的信息包。

-L Log_size

此选择会导致 iptrace 记录日志数据 ,这样 LogFile 在开始时及每当接近 Log_size 字节大小时,就复制到 LogFile.old。

-P Protocol_list

记录使用由 Protocol_list 变量指定的协议的信息包,此变量是一个由逗号分隔的协议列表。 此协议可以是来自 /etc/protocols 文件中的十进制数字或名称。

-p Port_list

记录使用由 Port_list 变量指定的端口号的信息包,此变量是一个逗号分隔的端口列表。 Port_list 变量可以是 /etc/services 文件中的一个十进制数或名字。

-s Host

记录来自由 Host 变量指定的源主机的信息包。Host 变量 可以是一个主机名字或一个由点隔开的十进制格式的因特网地址。

如果使用标志 -b,-s 标志记录进出由 Host 变量指定的主机的信息包。

-u

卸装在启动时由 iptrace 守护进程装入的内核扩展。

 

 

             注意事项: (1)抓包完成时一定要kill掉iptrace的进程,使用ctrl+c,否则会一直抓包,占用硬盘资源。

                                (2)使用 iptrace后,有时需要发出 iptrace -u 以便卸装 bpf 内核扩展名(重启也可),由于 iptrace 使用的内核扩展名有可能忙于处理包。

                                (3) 尽量使用root权限。

【ARM-Linux开发】linux下代码调试
ZhangPY的专栏
05-23 4637
1. 使用printf调试#ifdef DEBUGPrintf(“valriable x has value = %d\n”, x)#endif然后在编译选项中加入-DDEBUG 更复杂的调试应用如:#define BASIC_DEBUG 1#define EXTRA_DEBUG 2#define SUPER_DEBUG 4 #if (DEBUG &amp;EXTRA_DEBUG)       p...
工作中使用到的单词(软件开发)
热门推荐
sun0322
03-15 5万+
1.エイリアス   alias 别名 powershell使用 get-help 命令时,会得到与此命令 相关(别名)的命令 2.プロキシ proxy 代 理 3.プロモート   promote 促进,提升   开发的系统新功能上线发布,有时会使用到这个词,比如 STプロモート 还有使用リリース这个词的。比如STリリース。个人认为两者含义相同。 4.見逃し み................................................................
抓包工具-tcpdump
07-14
两个字--值得保留,直接在liunx 下随意使用使用方法简单易学
AIX系统下的抓包方式
xdzwa的专栏
07-25 7216
说明:通常Aix平台使用tcpdump抓包,较老的设备无法使用tcpdump,可使用iptrace,抓包结果都可以使用wireShark或Ethereal 打开。   tcpdump抓包:最简单方式,类似Suse抓包命令 tcpdump  -w myself.cap  -i en0 -X -t -s 0 host 10.138.40.35 注意:默认报文大小比较小,稍大的报文经常被截掉,不
linuxAIX抓包的方法
cool_wait学习专栏
04-30 3356
linux抓包方法 抓包命令:tcpdump -i bond0 host 192.216.10.152 -w /home/ftp -s 1500 -i (抓包接口) host 主机ip  -w (包文件名称) -s 抓包时长 aix抓包的方法 启动: 以ROOT用户登录 例: #startsrc -s iptrace -a "-b /home/text.cap" 停止:
AIX iptrace linux tcpdump抓包
Here I Am
10-23 1297
1.抓包 iptrace -d 22.188.20.137 -p 51017 -b trace.log 2.杀掉抓包进程 kill -9 进程号 3.解析抓包日志 ipreport trace.log > t.log 4.查看日志 vi t.log ----------------------------- linux下可使用tcpdump抓包 tcp...
unix类抓包
weixin_34202952的博客
03-21 152
tcpdump 抓下来的包(保存为文件),可以用WireShark 打开。 把 tcpdump抓下来的包保存为文件,用-w参数。比如: tcpdump -i eth0 -w filename 2,tcpdump抓包的时候,会对数据包进行截取,默认只保存96个字节,例如以下: [root@TJ-A-CASP-1 ~]# tcpdump host 10.243.255....
监控CPU、磁盘、内存、I/O资源命令(mpstat、iostat、pidstat、iotop、top、lsof、tcpdump、nload)
zhou641694375的博客
07-20 1089
学习目标提示以下是本篇文章正文内容,下面案例可供参考了解mpstat、iostat、iotop、nload、pidstat、lsof、tcpdump、top这几个命令httpshttpshttpshttpshttpshttpshttpshttpshttps。
使用gprof来对程序的性能分析总结
benpaobagzb的博客
06-17 4528
综述 gprof用于分析函数调用耗时,可用之抓出最耗时的函数,以便优化程序。gcc链接时也一定要加-pg参数,以使程序运行结束后生成gmon.out文件,供gprof分析。gprof默认不支持多线程程序,默认不支持共享库程序。 gcc -pg 编译程序运行程序,程序退出时生成 gmon.outgprof ./prog gmon.out -b 查看输出 注意事项 程序如果不是
应用集成与数据集成建设总体思路
夜澜偶作庄周梦 酒后聊为楚客狂
07-19 2万+
Web 服务的出现产生了根本的改变,因为很多 Web 服务项目的成功显示这种技术事实上确实存在,借此您可以实现真正的面向服务的体系结构。它使您又往回走了一步,不仅分析您的应用程序的体系结构,而且还要分析您正设法解决的基本业务问题。从业务的角度来看,它不再是一个技术问题,而是要开发一种应用程序体系结构和框架,可以在其中定义业务问题,还可以以一致的可重复的方式来实现解决方案。
Tcpdump抓包命令使用
木木与呆呆的专栏
08-07 1646
tcpdump命令需要使用root执行 1. 查看网卡命令 ifconfig 2. 监视编址到指定端口的TCP或UDP数据包,那么执行以下命令: tcpdump -i eth0 host 10.43.159.11 and port 8983 输出信息到文件 tcpdump -i eth0 host 10.43.159.11 and port 8983 -w...
快速上手tcpdump进行网络抓包分析
Ding 的博客
07-13 2164
快速上手tcpdump进行网络抓包分析 简介 tcpdumpLinux中强大的网络数据采集分析工具之一。mannal手册的简介:dump the traffic on a network,根据使用者的定义对网络上的数据包进行截获的包分析工具,支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句进行筛选过滤。 基本使用 不指定任何参数,将抓取所有的包 tcpdump 监听特定的网卡: tcpdump -i eth0 监听特定的主机: tcpdump host hostnam
tcpdump
风之无境的博客
11-26 570
Tcpdump简介 tcpdump 是一个运行在命令行下的嗅探工具。它允许用户拦截和显示发送或收到过网络连接到该 计算机的TCP/IP和其他数据包。tcpdump 适用于大多数的类Unix系统 操作系统:包括Linux、Solaris、BSD、Mac OS X、HP-UX和AIX 等等。在这些系统中,tcpdump 需要使用libpcap这个捕捉数据的库。其在Windows下的版 本称为WinD
tcpdump 抓包
每天进步一点点的专栏
09-07 1183
tcpdump 抓tcp包 sudo tcpdump -X -i eth0 -vvvv -n port 8080 and host 172.22.221.167(访问ip) and 172.22.201.79(服务器ip)-w /tmp/my.cap yum install --installroot=/usr/src/ xxx --测试 mvn clean &&...
tcpdump安装以及基本使用
cbbbc
10-04 2万+
0x01 Tcpdump简介 tcpdump 是一个运行在命令行下的嗅探工具。它允许用户拦截和显示发送或收到过网络连接到该计算机的TCP/IP和其他数据包。tcpdump 是一个在BSD许可证下发布的自由软件。 tcpdump是非常强大的网络安全分析工具,可以将网络上截获的数据包保存到文件以备分析。可以定义过滤规则,只截获感兴趣的数据包,以减少输出文件大小和数据包分析时的装载和
计算机网络实验-IP协议及TraceRT路由跟踪
LW20191231的博客
11-20 7881
通过跟踪所发送IP数据报经过的路由,分析Internet 的网络互连机制,了解IP协议的一些典型首部字段的意义和用途。
性能指标之关注指标-网络IO-trace查看
lin的专栏
04-07 1291
如果从应用层面或者ping等手段定位到网络有延时、抖动、丢包、中断等异常情况时,需要进行深入的诊断分析。 此时最好的方法是采用专业的网络抓包设备进行网络包捕获,并采用该厂商相应的工具进行分析诊断。不但不影响服务器本身的性能,并且可以比较快速地得出一些诊断结论。目前市场上这方面的厂商和工具也比较多。 然而本节将介绍另一种初步分析问题的手段-iptrace。通过
【网络排查】巧用路由追踪命令tracert (1)
最新发布
jjikyour的博客
10-10 5077
windows主机使用tracert命令,而linux/mac主机使用traceroute命令。
LinuxAIX系统下NFS共享及自动挂载配置教程
它在Unix和类Unix系统(如LinuxAIX)中广泛使用使用NFS,用户和程序可以像访问本地存储一样访问远程计算机上的文件,这促进了文件资源的共享和集中存储管理。 【标题】:"Linux-AIX上NFS共享" 【描述】中涉及的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值