snoop使用.doc

snoop的使用 snoop snoop是Solaris操作系统缺省自带的命令行方式的工具，无需另外安装，常用来抓取进出某个网卡的数据包，也可用来分析已经抓取并保存的数据包文件（数据包文件需是snoop格式）。由于支持的应用层协议较少且显示不大直观，snoop更多地是用来抓包，而分析抓包常用图形化的Ethereal工具。 抓包时，程序其实会把所有的包都会抓下来，只不过是后面过滤时才将符合过滤条件的报显示出来。 snoop命令语法 snoop必须以root用户运行，其语法如下： # snoop [-aqrCDNPSvV] [-t[r|a|d]] [-c maxcount] [-d device] [-i filename] [-n filename] [-o filename] [-p first [, last]] [-s snaplen] [-x offset [, length]] [expression] 所有的参数都是可选的。 参数解释 常用的参数解释如下： -q 抓包时不显示已抓到的包的个数，可提高抓包性能，不用-q时为显示包个数； -r 抓包或解包时不对抓到的包进行IP到名称的反向DNS解析，可避免抓包或解包时产生大量的DNS查询，不用-r时为进行DNS查询； -P 抓包时不将网卡设为混杂模式（promiscuous mode），工作在混杂模式下的网卡会将所有收到的数据包全部发给上层模块，这会部分影响网卡的性能，但在实际应用过程中发现，不设为混杂模式时有时抓不到网卡往外发送的包，故建议用混杂模式，不用-P时为混杂模式； -v 解包时显示详尽的信息，不用-v时为显示简单信息； -V 解包时每个协议层显示一行，比缺省显示的稍详细，但比-v显示的少； -t[r|a|d] 解包时的显示时间格式，r为相对时间，即与第一个包之间的时差（秒数），a为绝对时间，即年月日时分秒，d为两两相邻包之间的时差，不用-t时为不显示时间； -c Num 抓包时抓到多少个包就停止，不用-c时为一直抓下去； -d NIC 指定抓某个网卡的包，可用ifconfig -a命令查可用的网卡名，不用-d时为系统中第一个非loopback网卡； -i file 指定要解析的包文件； -o file 将抓到的包转存到文件，不用-o时为直接显示在屏幕上； -s Num 抓包时对于长度超过Num的包，只保存前Num个字节，这可减小包文件的大小，不用-s时为抓包的全部字节； [expression] 过滤表达式，可用通过一定的表达式将需要的包过滤出来，不跟表达式时抓或显示所有的包。例如： host 1.1.1.1 过滤出源地址或目的地址是1.1.1.1的包； host 1.1.1.1 or host 2.2.2.2 过滤出源地址或目的地址是1.1.1.1或2.2.2.2的包； tcp port 21 过滤出源端口或目的端口是21的TCP包； snoop使用举例 例子1，抓主机1与主机2之间的包 # snoop -qrd ce0 -c 3000000 -o /export/home/snoop_001.cap host 10.39.128.132 注释： -qrd ce0 抓进出网卡ce0的包，抓的时候不显示抓到的包的个数，不做DNS查询； -c 3000000 抓到3百万个包后停止； -o /export/… 将抓到的包存到/export/home/snoop_001.cap文件里，有时抓包文件可能比较大，故建议放到可用空间较多的目录下，比如/export/home； host 10.39.128.132 抓源或目的地址是上层网管10.39.128.132的包； 一般，抓包文件超过2G时，解析时容易出现问题，所以建议一次抓的包不要太多，以免抓包文件过大。根据经验值，一般应用的包平均大小在700个字节，故一个抓包文件不要保存超过3百万个包。 例子2，抓主机1与主机3之间的包 主机3与主机1通信时会使用两个IP地址，一个是主机3外网卡的虚IP地址，主机1主动发起到主机3的连接时访问的是主机3的虚IP地址；另一个是主机3外网卡的实IP地址，主机3主动发起到主机1的连接时用的是实IP地址，所以，抓主机1到主机3的全部的包得用两个地址过滤，比如： # snoop -qrd bge0 -c 3000000 -o /export/home/snoop_003.cap host 10.23.7.242 其中host 10.23.7.242 or host 10.23.7.243 就是主机3外网卡的虚实两个 例子3，分析主机1与主机4之间的包 由于主机1与主机4之间的信息都是通过6007端口传输的，所以在分析主机1与主机4之间的通信情况时，可用tcp port 600