TCPDUMP常用参数
-x?? 以16 进制数形式显示每一个报文(去掉链路层报头后) . 可以显示较小的完整报文
示例:#tcpdump -ennx -c 1
-xx?? 以16 进制数形式显示每一个报文(包含链路层报头)
-X???? 以16 进制数形式显示每一个报文(不包含链路层报头),同时显示ASCII码。
-XX?? 以16 进制数形式显示每一个报文(包含链路层报头),同时显示ASCII码。
-s???? 重定义截取报文大小,默认为96(或68),如果定义为0,则表示获取完整报文。该参数应尽量小,尤其在繁忙网络环境中。
-w??? 将截取的报文输出到文件中。
-r???? 从文件中读取报文。
示例:#tcpdump -en -s 0 -XX -i eth0 host www.sina.com.cn -w telnet.out2 将截取到的报文输出到文件telnet.out2中。
示例:#tcpdump -en -s 0 -XX -i eth0 host www.sina.com.cn -r telnet.out2 从telnet.out2中读取报文
监视ARP报文
#arping 192.168.1.100
#tcpdump -enxx -s 0 arp -c 2
上述内容逐一对应截取的报文。
红框第一部分是:链路层以太网帧格式
6字节目的MAC地址(000C 294D 662C)+ 6字节源MAC地址(0014 bf62 f916)+ 2字节帧类型(0800)
帧类型:
?????????? 0x0800 IP数据报
?????????? 0x0806 ARP数据报
?????????? 0x0835 RARP数据报
第二个红框部分是:IP首部
以下为摘录:
图中4500—01c8为IP的头信息。这些数是十六进制表示的。一个数占4位,例如:4的二进制是0100
?
引用:
http://hi.baidu.com/duanqian/blog/item/7b62a5af31248ac97dd92a36.html
http://hi.baidu.com/duanqian/blog/item/a75e394e7ae6bccfd0c86a36.html
