tcpdump分析和总结分析和总结.pdfVIP

TCPDUMP 的MAN 手册（中文） tcpdump[-adeflnNOpqStvx][- ount][-Ffile] [-iinterface][-rfile][-ssnaplen] [-Ttype][-wfile][expression] 描述(DESCRIPTION) Tcpdump 显示网络接口上符合布尔表达式expression 的报头. 选项(OPTIONS) -a 试着把网络和广播地址转换成名称. - 当收 coun 个报文后退出. -d 把编译好的报文匹配模板 (packet-matchingcode)翻译成可读形式,传往标准输 出,然后退出. -dd 把报文匹配模板(packet-matchingcode)以C 程序片断的形式输出. -ddd 把报文匹配模板(packet-matchingcode)以十进制数形式输出(前面加上总数). -e 每行都显示链路层报头. -f 用数字形式显示外部的互联网地址,而不是字符形式(这个选项用来绕开脑壳 坏掉的 SUN 黄页服务器的问题一般说来,它翻译外部网络数字地址的时候会 长期挂起). -F 指定文件file 的内容为过滤表达式.忽略命令行上的表达式. -i 监听 interface 接口.如果不指定接口,tcpdump 在系统的接口清单中,寻找号码 最小,已经配置好的接口(loopback除外).选中的时候会中断连接. -l 行缓冲标准输出.可用于捕捉数据的同时查看数据.例如, ``tcpdump -l|teedator``tcpdump-ldattail-fdat. -n 不把地址转换成名字(如主机地址,端口号等) -N 不显示主机名字中的域名部分 .例如,如果使用这个选项 ,tcpdump 只显示 ``nic,而不是``. -O 禁止运行报文匹配模板的优化器.当怀疑优化器含有bug 时,这个选项才有用. -p 禁止把接口置成 promiscuous 模式.注意,接口有可能 因其他原因 而处于 promiscuous 模式;因此,-p不能作为俄etherhost {local-hw-addr} 或ether broadcast 的简写. -q 快速输出.显示较少的协议信息,输出行将短一点点. -r 从file 中读入数据报(文件是用-w 选项创建的).如果file 是``-,就读标准输 入. -s 从每个报文中截取snaplen 字节的数据,而不是缺省的68(如果是SunOS 的NIT, 最小值是96).68 个字节适用于IP,ICMP,TCP 和UDP,但是有可能截掉名字服务器 和NFS 报文的协议信息(见下面).输出时如果指定``[|proto],tcpdump 可以指 出那些捕捉量过小的数据报,这里的proto 是截断发生处的协议层名称.注意,采 用更大的捕捉范围既增加了处理报文的时间 ,又相应的减少了报文的缓冲数量, 可能导致报文的丢失.你应该把 snaplen 设的尽量小,只要能够容纳你需要的协 议信息就可以了. -T 把通过 expression挑选出来的报文解释成指定的 type. 目前已知的类型 有 :rpc( 远 程 过 程 调 用 RemoteProcedureCall),rtp( 实 时 应 用 协 议 Real-TimeApplicationsprotocol),rtcp( 实 时 应 用 控 制 协 议 Real-TimeApplications control protocol),vat(可视音频工具 Visual Audio Tool),和wb(分布式白板distributed White Board). -S 显示绝对的,而不是相对的TCP 序列号. -t 禁止显示时戳标志. -tt 显示未格式化的时戳标志. -v 繁琐的输出.例如,显示IP 数据报中的生存周期和服务类型. -vv 更繁琐的输出.例如,显示NFS 应答报文的附加域. -w 把原始报文存进 file,不分析也不显示.它们可以以后用-r 选项显示.如果 file 是``-,就写到标准输出. -x 以十六进制数形式显示每一个报文(去掉链路层报头后).可以显示较小的完整报 文,否则只显示snaplen 个字节. expression 用来选择要转储的数据报.如果没有指定 expression,就转储网络的全部报文. 否则,只转储相对expression 为`true的数据报. expression 由一个或多个原语(primitive)组成