tcpdump输出内容分析
我們就針對上圖中所抓的這個包來進行分析。
1.“tcpdump: verbose output suppressed, use -v or -vv for full protocol decode”
這是說你命令沒有用到-v和-vv,如果你用了這兩個選項,輸出就會有更多內(nèi)容。
2.“l(fā)istening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes”
是說監(jiān)聽網(wǎng)卡eth0,類型是以太網(wǎng)EN10MB,抓包大小限制65535字節(jié)。包的大小可通過-s選項修改,盡量不要太大,如果你要追求高性能,建議把這個值調(diào)低,這樣可以有效避免在大流量情況下的丟包現(xiàn)象。
3.“19:48:33.285838 IP 116.255.245.206.47940 > 8.8.8.8.53: 22768+ A? www.baidu.com. (31)”
“19:48:33.285838”,分別對應(yīng)著這個包被抓到的“時”、“分”、“秒”、“微妙”。
“IP”,表示這個包在網(wǎng)絡(luò)層是IP包。
“116.255.245.206.47940”,表示這個包的源IP為116.255.245.206,源端口為47940。
“>”,這個大于號表示數(shù)據(jù)包的傳輸方向。
“8.8.8.8.53“,表示這個包要發(fā)向的目的端IP是8.8.8.8,目標端口為53,也就是我們熟知的DNS服務(wù)端口。
“22768+ A? www.baidu.com. (31)“,這是DNS協(xié)議的內(nèi)容,即請求www.baidu.com的A紀錄。
4.0x0000: 4500 003b c341 0000 4011 3c93 74ff f5ce E..;.A..@.<.t...
0x0010: 0808 0808 bb44 0035 0027 b457 58f0 0100 .....D.5.'.WX...
0x0020: 0001 0000 0000 0000 0377 7777 0562 6169 .........www.bai
0x0030: 6475 0363 6f6d 0000 0100 01 ? ? ? ? ? ? du.com.....
接下來便是IP包的內(nèi)容了,是除去了以太網(wǎng)之后剩下的內(nèi)容,其中左側(cè)紅色字體部分是十六進制內(nèi)容,右側(cè)天藍色字體部分是相應(yīng)的ASCII碼內(nèi)容。
下面轉(zhuǎn)自:http://roclinux.cn/?p=2511
在最后的“終結(jié)招”中,我們會給大家介紹一些之前沒有提到的“小秘籍”,讓大家在追查網(wǎng)絡(luò)問題、進行協(xié)議分析時,可以用得上。
[秘籍一]
使用-A選項,則tcpdump只會顯示ASCII形式的數(shù)據(jù)包內(nèi)容,不會再以十六進制形式顯示;
[秘籍二]
使用-XX選項,則tcpdump會從以太網(wǎng)部分就開始顯示網(wǎng)絡(luò)包內(nèi)容,而不是僅從網(wǎng)絡(luò)層協(xié)議開始顯示。
[秘籍三]
使用如下命令,則tcpdump會列出所有可以選擇的抓包對象。
# tcpdump -D 1.eth0 2.any (Pseudo-device that captures on all interfaces) 3.lo[秘籍四]
如果想查看哪些ICMP包中“目標不可達、主機不可達”的包,請使用這樣的過濾表達式:
icmp[0:2]==0x0301[秘籍五]
要提取TCP協(xié)議的SYN、ACK、FIN標識字段,語法是:
tcp[tcpflags] & tcp-syn tcp[tcpflags] & tcp-ack tcp[tcpflags] & tcp-fin[秘籍六]
要提取TCP協(xié)議里的SYN-ACK數(shù)據(jù)包,不但可以使用上面的方法,也可以直接使用最本質(zhì)的方法:
tcp[13]==18[秘籍七]
如果要抓取一個區(qū)間內(nèi)的端口,可以使用portrange語法:
tcpdump -i eth0 -nn 'portrange 52-55' -c 1 -XX原址:http://roclinux.cn/?p=2851
總結(jié)
以上是生活随笔為你收集整理的tcpdump输出内容分析的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 基于C#的书店零售管理系统#窗体#cs
- 下一篇: html自动化布局,自动化部门任务