嘗試了下,在soloris下,只有在global zone下才能抓包。
snoop -o snoop/cap83 host 147.234.154.83
在實際的抓包分析過程中,因為會有大量你不想看到的干擾資訊出現,例如額外的
網路連線,網路中的廣播資料報等,這時要看到自己想要的資訊簡直就像大海撈針一樣,幸好snoop提供了一系列的引數和選項來迴避這些無用資訊,先看一些常用的選項:
-p 不使用混雜模式,只能獲取廣播包和到本地主機的資料報
-c [maxcount] 記錄最大包數,超過則自動停止
-d [dev] 接受包的裝置名(網路介面)
-i [filename] 從檔案輸入(從乙個以前的記錄檔案而不是網路裝置中輸入)
-p first[,last] 當從檔案輸入時,只顯示從first指定到last的包
-o [filename] 儲存所有資料報輸出到檔案,格式為rfc 1761-compliant
-q 當記錄到檔案時,使用安靜模式,不回顯資料
-n 解析ip位址到主機名(預設使用/etc/hosts作為解析列表)
-r 不解析主機名
-n 指定解析主機名所用的列表檔案
-v 冗餘模式,顯示詳細的資料報資訊
除了命令選項以外,snoop還允許通過filter expression_r過濾模式來對資料報進行析取,以進行更精確的資料抓取和分析。snoop中expr的格式與tcpdump基本相容。
位址host [hostname] 指定主機名,snoop將只獲取此主機(源和目標)的資料報
from 或 src 指定源位址,後面必須跟host或ipaddr指令,將只獲取以此位址為源的資料
to 或 dst 指定目標位址,後面必須跟host或ipaddr指令,將只獲取以此位址為目的的資料
ipaddr 指定ip位址,功能同host
etheraddr 指定乙太網mac位址,適用於ethernet協議
net [net] 指定網路位址,將抓取指定目標網路的資料
port [port] 指定tcp|udp埠號,將只抓取指定埠的資料,適用於tcp|udp協議
也可以根據/etc/services檔案中指定的協議名字使用字串
gateway [hostname|ip] 指定閘道器位址,將只抓取傳送到指定閘道器的資料協議
inet 指定抓取ipv4協議
inet6 指定抓取ipv6協議
ethertype 抓取指定的ethernet協議
ip, ip6, arp, rarp, pppoed, pppoes
udp, tcp, icmp, icmp6, ah, esp
分別指定以上型別的協議
pppoe pppoe協議
broadcast 廣播協議
multicast 多播協議
bootp, dhcp bootp和dhcp協議
decnet decnet協議
rpc prog [ , vers [ , proc ] ] 對應型別的rpc協議資料
ldap ldap協議
slp slp協議
sctp sctp協議
ospf ospf協議
型別nofrag 不抓取分片資料報
此外,ether,ip,udp等協議關鍵字,都可以通過指定對應標誌位的方式進行更詳細的控制,例如使用ip[0]指定某乙個位的標誌。
操作符在snoop過濾表示式中同樣可以使用邏輯表示式來進行控制,對應的功能則與c,perl等語言中的類似。
and 與
or 或 , 或
not or ! 非
例如:ipaddr 10.1.1.1 and port 23 抓取10.0.0.1:23的資料
host a or host b 抓取主機a和b的資料
not ipaddr 192.168.0.2 不抓取192.168.0.2的資料
指定 網路介面:/dev/pcn0 , 目標主機: katty, 目標埠: tcp 23
Linux 抓包命令
tcpdump host 172.16.29.40 and port 4600 x s 500 tcpdump採用命令列方式,它的命令格式為 tcpdump adeflnnopqstvx c 數量 f 檔名 i 網路介面 r 檔名 s snaplen t 型別 w 檔名 表示式 1 tcpdump的...
TCPdump抓包命令
tcpdump抓包命令 tcpdump是乙個用於擷取網路分組,並輸出分組內容的工具。tcpdump憑藉強大的功能和靈活的擷取策略,使其成為類unix系統下用於網路分析和問題排查的首選工具。選項介紹 a 以ascii格式列印出所有分組,並將鏈路層的頭最小化。c 在收到指定的數量的分組後,tcpdump...
linux抓包命令
想要截獲所有210.27.48.1 的主機收到的和發出的所有的資料報 tcpdump host 210.27.48.1 想要截獲主機210.27.48.1 和主機210.27.48.2 或210.27.48.3的通訊,使用命令 tcpdump host 210.27.48.1 and 210.27....