首选介绍一下tcpdump的常用参数
tcpdump采用命令行方式,它的命令格式为:
tcpdump[-adeflnNOpqStvx][-c数量][-F文件名]
[-i网络接口][-r文件名][-ssnaplen]
[-T类型][-w文件名][表达式]
1.tcpdump的选项介绍
-a将网络地址和广播地址转变成名字;
-d将匹配信息包的代码以人们能够理解的汇编格式给出;
-dd将匹配信息包的代码以c语言程序段的格式给出;
-ddd将匹配信息包的代码以十进制的形式给出;
-e在输出行打印出数据链路层的头部信息;
-f将外部的Internet地址以数字的形式打印出来;
-l使标准输出变为缓冲行形式;
-n不把网络地址转换成名字;
-t在输出的每一行不打印时间戳;
-v输出一个稍微详细的信息,例如在ip包中可以包括ttl和服务类型的信息;
-vv输出详细的报文信息;
-c在收到指定的包的数目后,tcpdump就会停止;
-F从指定的文件中读取表达式,忽略其它的表达式;
-i指定监听的网络接口;
-r从指定的文件中读取包(这些包一般通过-w选项产生);
-w直接将包写入文件中,并不分析和打印出来;
-T将监听到的包直接解释为指定的类型的报文,常见的类型有rpc(远程过程
调用)和snmp(简单网络管理协议;)
当网络出现故障时,由于直接用tcpdump抓包分析有点困难,而且当网络中数据比较多时更不容易分析,使用tcpdump的-w参数+ethereal分析会很好的解决这个问题,具体参数如下:
tcpdump-ieth1-c2000-weth1.cap
-ieth1只抓eth1口的数据
-c2000代表数据包的个数,也就是只抓2000个数据包
-weth1.cap保存成cap文件,方便用ethereal分析
抓完数据包后ftp到你的FTP服务器,put一下,然后用ethereal软件打开就可以很直观的分析了
注:有时将.cap文件上传到FTP服务器后,发现用ethreal打开时提示数据包大于65535个,这是你在ftp上传或者下载的时候没有用bin的模式上传的原因。
另:有的网站提示在tcpdump中用-s0命令,例如tcpdump-ieth1-c2000-s0-weth1.cap,可实际运行该命令时系统却提示无效的参数,去掉-s0参数即可
例子:
[root@localhostcdr]#tcpdump-ieth0-ttcp-s60000-wdiaoxian.cap
[root@localhostcdr]#tcpdumphost58.240.72.195-s60000-wx.cap
如果觉得《tcpdump抓包ftp协议_tcpdump抓包并保存成cap文件》对你有帮助,请点赞、收藏,并留下你的观点哦!
