工控机Linux系统tcpdump抓包使用指南.pdfVIP

工控机tcpdump抓包文档

工控机tcpdump抓包文档

编写：2014.12.11

1.tcpdump命令

tcpdump采用命令行方式，它令格式为：

tcpdump[-adeflnNOpqStvx][-c数量][-F文件名]

[-i网络接口][-r文件名][-ssnaplen]

[-T类型][-w文件名][表达式]

-a将网络地址和广播地址转变成名字；

-d将匹配信息包的代码以人们能够理解的汇编格式给出；

-dd将匹配信息包的代码以c语言程序段的格式给出；

-ddd将匹配信息包的代码以十进制的形式给出；

-e在输出行打印出数据链路层的头部信息；

-f将外部的Internet地址以数字的形式打印出来；

-l使输出变为缓冲行形式；

-n不把网络地址转换成名字；

-t在输出的每一行不打印时间戳；

-v输出一个稍微详细的信息，例如在ip包中可以包括ttl和服务类型的信息；

-vv输出详细的报文信息；

-c在收到指定的包的数目后，tcpdump就会停止；

-F从指定的文件中表达式,忽略其它的表达式；

-i指定的网络接口；

-r从指定的文件中包(这些包一般通过-w选项产生)；

-w直接将包写入文件中，并不分析和打印出来；

-T将到的包直接解释为指定的类型的报文，常见的类型有rpc（过程调用）

和snmp（简单网络管理协议；）

2.tcpdump安装

1）解压软件。在window系统下，将tcpdump.rar的解压缩，得到tcpdump。如下图所示

2）将tcpdump通过FTP下传到/usr/local/sbin目录。如下图所示

3）修改tcpdump的执行权限

利用SecureCRT连接并登陆工控机Linux系统(详见文档《01.工控机Linux系统调试手册》)，

然后通过cd进入/usr/local/sbin目录，执行chmod755tcpdump修改执行权限。如下图所示

4)安装测试。在任意目录下，执行tcpdump命令，如果能成功执行tcpdump且有下图类似信息说明

安装成功。按Ctrl+Ctcpdump执行

长园深瑞继保自动化第1页

工控机tcpdump抓包文档

3.使用tcpdump抓包

简单使用情况如下，执行如下命令就可以抓包了：

tcpdump-i网口-w报文存放目录

例如：抓网口3的报文，并将报文数据存放在/home目录的srccap.cap文件令如下

tcpdump-ieth2-w/home/srccap.cap

按Ctrl+C停止抓报文。通过FTP可以将报文文件从工控机上取出来，然后通过wireshark或ethereal

就可分析查看报文了

长园深瑞继保自动化第2页