Tcpdump的使用
实际用例: 监测192.16.0.100到192.16.0.102 网卡为eth1的包是否丢失,命令如下:
tcpdump -i eth1 dst host 192.16.0.102 and src host 192.16.0.100
输出为:
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes
17:57:12.608278 IP 192.16.0.100.53701 > 192.16.0.102.cbt: UDP, length 1020
17:57:12.610451 IP 192.16.0.100.53701 > 192.16.0.102.cbt: UDP, length 998
17:57:12.612506 IP 192.16.0.100.53701 > 192.16.0.102.cbt: UDP, length 1008
17:57:12.615419 IP 192.16.0.100.53701 > 192.16.0.102.cbt: UDP, length 1016
17:57:12.615662 IP 192.16.0.100.53701 > 192.16.0.102.cbt: UDP, length 1024
17:57:12.616000 IP 192.16.0.100.53701 > 192.16.0.102.cbt: UDP, length 1000
17:57:12.616325 IP 192.16.0.100.53701 > 192.16.0.102.cbt: UDP, length 964
17:57:12.616650 IP 192.16.0.100.53701 > 192.16.0.102.cbt: UDP, length 1000
17:57:12.616788 IP 192.16.0.100.53701 > 192.16.0.102.cbt: UDP, length 452
?
10 packets captured
21 packets received by filter
0 packets dropped by kernel
?
用法:
tcpdump采用命令行方式,它的命令格式为:
tcpdump [ -adeflnNOpqStvx ] [ -c 数量 ] [ -F 文件名 ]
[ -i window是接收缓存的窗口大小, urgent表明数据包中是否有紧急指针. Options是选项.
(4) UDP包的输出信息
用TCPDUMP捕获的UDP包的一般输出信息是:
route.port1 > ice.port2: udp lenth
UDP十分简单,上面的输出行表明从主机ROUTE的port1端口发出的一个UDP数据包到主机ICE的port2端口,类型是UDP, 包的长度是lenth
上面,我就详细介绍了TCPDUMP的安装和使用,希望会对大家有所帮助。如果想要熟练运用TCPDUMP这个LINUX环境下的SNIFFER利器,还需要大家在实践中总结经验,充分发挥它的威力。
