Parámetros comúnmente usados de tcpdump

Enterprise 2021-03-03 05:28:39 views: null

Método de uso tcpdump comúnmente utilizado
-A Imprima todos los paquetes en formato ASCII y minimice el encabezado de la capa de enlace.

-c Después de recibir el número especificado de paquetes, tcpdump se detendrá.

-C Antes de escribir un paquete sin procesar en el archivo, verifique si el tamaño actual del archivo excede el tamaño especificado en el parámetro file_size. Si excede el tamaño especificado, el archivo actual se cierra y luego se abre un nuevo archivo. La unidad del parámetro file_size es megabytes (1,000,000 bytes, no 1,048,576 bytes).

-d hará coincidir el código del paquete de información con el formato de ensamblaje que la gente pueda entender.

-dd Da el código del paquete de información coincidente en el formato de un segmento de programa en lenguaje C.

-ddd Da el código del paquete coincidente en forma decimal.

-D Imprime todas las interfaces de red del sistema que tcpdump puede interceptar.

-e Imprime la información del encabezado de la capa de enlace de datos en la línea de salida.

-E Use spi @ ipaddr algo: secret para descifrar paquetes IPsec ESP con addr como dirección y que contenga el valor de índice del parámetro de seguridad spi.

-f Imprima la dirección de Internet externa en formato digital.

-F Lee expresiones del archivo especificado, ignorando las expresiones dadas en la línea de comando.

-i Especifica la interfaz de red que se supervisará.

-l Convierta la salida estándar en un formato de línea de búfer, puede exportar los datos a un archivo.

-L enumera los enlaces de datos conocidos de la interfaz de red.

-m Importa la definición del módulo SMI MIB desde el módulo de archivo. Este parámetro se puede utilizar varias veces para importar varios módulos MIB.

-M Si hay opciones de TCP-MD5 en el mensaje tcp, debe usar secreto como código de verificación compartido para verificar el resumen de las opciones de TCP-MD5 (para obtener más detalles, consulte RFC 2385).

-b Seleccione el protocolo en la capa de enlace de datos, incluidos ip, arp, rarp e ipx en esta capa.

-n No convierte direcciones de red en nombres.

-nn se muestra directamente por IP y número de puerto, en lugar de por nombre de host y servidor.

-N No genera la parte del nombre de dominio del nombre de host. Por ejemplo, 'nic.ddn.mil' solo genera 'nic'.

-t No imprime una marca de tiempo en cada línea de salida. (-Tt -ttt)

-O No ejecute el programa de optimización de código de coincidencia de paquetes.

-P no establece la interfaz de red en modo promiscuo.

-q Salida rápida. Solo genera menos información de protocolo.

-r Leer paquetes del archivo especificado (estos paquetes generalmente se generan con la opción -w).
Cómo usar tcpdump

-S Muestra el número de serie de tcp como un valor absoluto, en lugar de un valor relativo.

-s Lee los primeros bytes de snaplen de cada paquete en lugar de los 68 bytes predeterminados. -s 0 significa longitud ilimitada y genera el paquete completo.

-T interpreta el paquete monitoreado directamente como un tipo específico de mensaje, los tipos comunes son llamada a procedimiento remoto rpc) y snmp (protocolo simple de administración de red).

-t No genera la marca de tiempo en cada línea.

-tt Muestra una marca de tiempo sin formato en cada línea.

-ttt Muestra la diferencia de tiempo entre esta línea y la línea anterior.

-tttt Muestra la marca de tiempo en el formato predeterminado procesado por fecha en cada línea.

-u Identificador de salida NFS sin codificar.

-v genera una información ligeramente detallada, por ejemplo, ttl y la información del tipo de servicio se pueden incluir en el paquete ip.

-vv genera información más detallada.

-vv muestra información detallada del mensaje.

-w Escriba la agrupación directamente en el archivo en lugar de no analizarlo e imprimirlo. (El archivo .pcap de salida se puede abrir con wirehark en Windows para un análisis más detallado)

Para permitir que wirehark analice paquetes tcpdump, el punto clave es el parámetro -s, y el archivo de salida debe guardarse para -w.

-X y -XX, salida en modo hexadecimal y ASCII, puede mostrar paquetes de datos en modo legible, adecuado para HTTP, memcached ascii y otros protocolos de transmisión de texto plano, puede ver el contenido;
uso de tcpdump más avanzado

Supongo que te gusta

Origin blog.51cto.com/15117737/2643917
Recomendado
Clasificación
Diario
Más
2024-06-05(0)
2024-06-04(0)
2024-06-03(1)
2024-06-02(0)
2024-06-01(2)
2024-05-31(0)
2024-05-30(0)
2024-05-29(1)
2024-05-28(0)
2024-05-27(1)

Code World

© 2018 codetd.com