tcpdump命令.docVIP

TCPDUMP使用说明  TOC \* MERGEFORMAT tcpdump命令参数解释  PAGEREF _Toc174433432 \h 1 Tcpdump使用案例说明：  PAGEREF _Toc174433433 \h 2 TCPDUMP出现“truncated-ip - 1215 bytes missing!”错误  PAGEREF _Toc174433434 \h 3 TCPDUMP 命令中的-i参数用VLAN名称与接口编号有什么区别  PAGEREF _Toc174433435 \h 3 TCPDUMP 命令中出现“pcap_loop: Error: Interface packet capture busy”错误信息？  PAGEREF _Toc174433436 \h 5  tcpdump命令参数解释 TcpDump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤，并提供and、or、not等逻辑语句来帮助你去掉无用的信息。 数据过滤 不带任何参数的TcpDump将搜索系统中所有的网络接口，并显示它截获的所有数据，这些数据对我们不一定全都需要，而且数据太多不利于分析。所以，我们应当先想好需要哪些数据，TcpDump提供以下参数供我们选择数据： 参数描述实例-i interface只过滤指定的接口上通过的数据tcpdump -i eth0-i vlan只过滤指定的vlan上通过的数据tcpdump -i external-e 显示MAC地址Tcpdump -e-n 注：在bigip v9中，需要使用-nn不进行IP地址到主机名的转换。Tcpdump -n-XDisplay packets in hex and decondes in ASCIITcpdump –x 可以看到一些访问的请求信息-s value显示指定的字节数.默认为76字节.实际使用时，建议用-s 1600，这样可以保证抓取完整的数据包Tcpdump –s 1600-w将输出内容保存在指二进制文件定中Tcpdump –w chen-r查看指定的二进制文件tcpdump -r chenfilename将输出内容保存在指定文件中，非二进制文件Tcpdump –n chenhost ip 过滤指定的主机.只显示过滤的内容.包括访问与应答。Tcpdump host 192.168.1.1protocol过滤指定的协议 ICMP,UDP,ARP,etc.tcpdump -i exp1 udpport port过滤指定的端口tcpdump -i exp1 80条件1 and 条件2tcpdump -i exp1 host 61.55.138.133 and udp条件1 or 条件2tcpdump -i exp1 host 61.55.138.133 or udp条件1 not 条件2所有满足指定条件1并且除条件2的数据。tcpdump -i exp1 host 61.55.138.133 not udpsrc ip过滤指定的来源地址.只显示访问IP的请求包，不再显示F5返回的包tcpdump -i exp1 src 61.55.138.133 or udpdst过滤指定的目标地址.只显示F5返回的包，不再显示访问IP的请求包。 注：tcpdump命令只针对经过CPU处理的数据包进行捕获，一但在BIGIP中的某个VIP采用的是performance L4的方式，数据包则由四层加层ASIC芯片处理而没有流经CPU，无法捕获数据。解决该问题的方法是：选取该Virtual Server将type由Performance Layer4临时改为Standard再来用TCPDUMP命令抓包，抓包以后，改回到Performance Layer4。 Tcpdump使用案例说明： 举例1：对external接口主机139.212.96.2并且端口为1433的流量进行监控。端口不指定tcp和udp，默认为同时对tcp和udp进行报文捕获。本命令不解析IP地址/端口号为主机名/服务名称，同时显示报文十二进制和文本信息，报文最大为1500字节。 f5-1:~# tcpdump -i external -nn -X -s 1600 port 1433 and host 139.212.96.2 tcpdump: listening on external