linux下抓包

时间 2020-10-23

标签 node linux shell 网络 tcp ide spa 资源栏目 Linux 繁體版

原文原文链接

linux下抓包用以下命令：tcpdump -w /tmp/rad1.cap -s 0 udp port 1812node

其中各类条件的使用能够参考wireshark的使用或下面的“表达式”。如上例中能够改成：linux

tcpdump -w /tmp/rad1.cap -s 0 udp port 1812 or 1813shell

tcpdump -w /tmp/rad3.cap -s 0 udp port \( 1812 or 1813 \) and src or dst 125.70.249.150网络

--抓ping包tcp

tcpdump -i en1 icmpide

--i表示按网卡设备名抓包spa

tcpdump -i bond0(或eth0) udp port 8528 ip

--抓某个主机ci

tcpdump -i en1 host 61.139.81.6资源

注意and的优先级比or高须要使用括号(园括弧在Shell中有专用,因此必须用反斜杠(\)转义,在C-shell中应该是\\）

一、成电坚持说他们收不到×××属性（对应RAD_DETAIL中的account_info字段），因此默认为default，ERX工程师也确认了此事。

二、在23.192上进行抓包：tcpdump -w /tmp/rad1.cap -s 0 udp port 1812，而后成电人员进行拨号，拨号仍是失败，中止抓包。

三、用wireshark打开rad1.cap，使用过滤条件：ip.dst==218.88.96.1 or ip.src==218.88.96.1，发现Radius的确没有下发属性：ERX-Virtual-Router-Name: ***-scczysw

四、对bims中node_table检查，发现218.88.96.1对应的设备类型竟然是cisco，应当为unisphere，故致使发生错误，缘由是资源管理系统送错了，批量修改后重启Radius即恢复正常。

过滤条件举例

一、查找Radius报文的loginname：radius.User_Name == "332211" （过滤向导能够经过Filter旁边的Expression按钮选择Radius报文的相关属性）

解析可使用wireshark

表达式

tcpdump利用它做为过滤报文的条件，若是一个报文知足表

达式的条件，则这个报文将会被捕获。若是没有给出任何条件，

则网络上全部的信息包将会被截获。

1. 类型关键字

host: 指定主机

net: 指定网络地址

port: 指定端口号

默认类型为host

2. 方向关键字

src: 指定源

dst: 指定目的

src or dst

src and dst

默认为src or dst

3. 协议关键字

包括fddi,ip ,arp,rarp,tcp,udp等类型

4. 逻辑运算

取非运算是 'not ' '!'

与运算是'and','&&'

或运算是'or' ,'||'；

示例

1. 截获全部135.252.142.150 的主机收到的和发出的全部的数据包

tcpdump host 135.252.142.150 -i eth0

2. 获取主机135.252.33.186除了和主机135.252.142.150以外全部

主机通讯的ip包，使用命令

tcpdump ip host 210.27.48.1 and ! 210.27.48.2

3. 获取主机135.252.33.186接收或发出的telnet包

tcpdump tcp port 23 host 135.252.142.150

4. 获取主机135.252.142.121端口5060上的全部数据报

tcpdump port 5060 and host 135.252.142.121

5. 获取主机135.252.142.150全部udp数据报

tcpdump udp and host 135.252.142.150

or:

tcpdump ip proto \\udp and host 135.252.142.150

6. 获取主机和135.252.142.150的源端口为5060, 目的端口为

45413的数据报

tcpdump src port 5060 and dst port 45413 and host 135.252.142.150

7. 打印全部包含数据的数据报, 就是说除了SYN, ACk和Fin的数据报

tcpdump 'tcp port 80 and

(((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)'

8. 打印全部通过网关135.252.33.1长度大于576的数据报

tcpdump 'gateway snup and ip[2:2] > 576'

ip[2:2]: 从第二个byte开始的两个byte.