- 1、本文档共5页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
snoop使用
snoop的使用
snoop
snoop是Solaris操作系统缺省自带的命令行方式的工具,无需另外安装,常用来抓取进出某个网卡的数据包,也可用来分析已经抓取并保存的数据包文件(数据包文件需是snoop格式)。由于支持的应用层协议较少且显示不大直观,snoop更多地是用来抓包,而分析抓包常用图形化的Ethereal工具。
抓包时,程序其实会把所有的包都会抓下来,只不过是后面过滤时才将符合过滤条件的报显示出来。
snoop命令语法
snoop必须以root用户运行,其语法如下:
# snoop [-aqrCDNPSvV]
[-t[r|a|d]]
[-c maxcount]
[-d device]
[-i filename]
[-n filename]
[-o filename]
[-p first [, last]]
[-s snaplen]
[-x offset [, length]]
[expression]
所有的参数都是可选的。
参数解释
常用的参数解释如下:
-q 抓包时不显示已抓到的包的个数,可提高抓包性能,不用-q时为显示包个数;
-r 抓包或解包时不对抓到的包进行IP到名称的反向DNS解析,可避免抓包或解包时产生大量的DNS查询,不用-r时为进行DNS查询;
-P 抓包时不将网卡设为混杂模式(promiscuous mode),工作在混杂模式下的网卡会将所有收到的数据包全部发给上层模块,这会部分影响网卡的性能,但在实际应用过程中发现,不设为混杂模式时有时抓不到网卡往外发送的包,故建议用混杂模式,不用-P时为混杂模式;
-v 解包时显示详尽的信息,不用-v时为显示简单信息;
-V 解包时每个协议层显示一行,比缺省显示的稍详细,但比-v显示的少;
-t[r|a|d] 解包时的显示时间格式,r为相对时间,即与第一个包之间的时差(秒数),a为绝对时间,即年月日时分秒,d为两两相邻包之间的时差,不用-t时为不显示时间;
-c Num 抓包时抓到多少个包就停止,不用-c时为一直抓下去;
-d NIC 指定抓某个网卡的包,可用ifconfig -a命令查可用的网卡名,不用-d时为系统中第一个非loopback网卡;
-i file 指定要解析的包文件;
-o file 将抓到的包转存到文件,不用-o时为直接显示在屏幕上;
-s Num 抓包时对于长度超过Num的包,只保存前Num个字节,这可减小包文件的大小,不用-s时为抓包的全部字节;
[expression] 过滤表达式,可用通过一定的表达式将需要的包过滤出来,不跟表达式时抓或显示所有的包。例如:
host 1.1.1.1 过滤出源地址或目的地址是1.1.1.1的包;
host 1.1.1.1 or host 2.2.2.2 过滤出源地址或目的地址是1.1.1.1或2.2.2.2的包;
tcp port 21 过滤出源端口或目的端口是21的TCP包;
snoop使用举例
例子1,抓主机1与主机2之间的包
# snoop -qrd ce0 -c 3000000 -o /export/home/snoop_001.cap host 10.39.128.132
注释:
-qrd ce0 抓进出网卡ce0的包,抓的时候不显示抓到的包的个数,不做DNS查询;
-c 3000000 抓到3百万个包后停止;
-o /export/… 将抓到的包存到/export/home/snoop_001.cap文件里,有时抓包文件可能比较大,故建议放到可用空间较多的目录下,比如/export/home;
host 10.39.128.132 抓源或目的地址是上层网管10.39.128.132的包;
一般,抓包文件超过2G时,解析时容易出现问题,所以建议一次抓的包不要太多,以免抓包文件过大。根据经验值,一般应用的包平均大小在700个字节,故一个抓包文件不要保存超过3百万个包。
例子2,抓主机1与主机3之间的包
主机3与主机1通信时会使用两个IP地址,一个是主机3外网卡的虚IP地址,主机1主动发起到主机3的连接时访问的是主机3的虚IP地址;另一个是主机3外网卡的实IP地址,主机3主动发起到主机1的连接时用的是实IP地址,所以,抓主机1到主机3的全部的包得用两个地址过滤,比如:
# snoop -qrd bge0 -c 3000000 -o /export/home/snoop_003.cap host 10.23.7.242
其中host 10.23.7.242 or host 10.23.7.243 就是主机3外网卡的虚实两个
例子3,分析主机1与主机4之间的包
由于主机1与主机4之间的信息都是通过6007端口传输的,所以在分析主机1与主机4之间的通信情况时,可用tcp port 600
您可能关注的文档
最近下载
- 六年级下册总复习《比和比例》说课稿.pdf
- (2023正式版)JBT 14355-2023 发动机尾焰测温用钨铼热电偶丝 .docx VIP
- 骨架油封结构型式标准用途..docx VIP
- 2024第六届(2024年)“信用电力”知识竞赛活动总试题库资料-上(单选题汇总).pdf
- (完整word版)全新版大学英语综合教程4课文原文及翻译.pdf VIP
- 京能集团招聘笔试题库2023.pdf
- 抗震支架施工方案.doc
- 代买车辆协议书(精选5篇).docx VIP
- USP 1207.1 包装完整性和测试方法选择(中英对照).doc
- 山西梅园许村煤业有限公司120万ta矿井兼并重组整合项目环境影响报告书(公示版)-副本.doc VIP
文档评论(0)