1. 怎么把tcpmp抓到的数据
/usr/sbin/tcpmp -i eth0 -s 1500 -w dhcp.pcap 'udp and port 67 and port 68' -i 指定抓包网卡 -s 指定抓包长度,默认只抓包头 -w 将抓包内容保存下来,然后用wireshark之类的软件看更方便。如果想要在屏幕滚动查看,忽略这个选项 udp and port 67 and port 68:dhcp报文的过滤条件,udp协议,端口67和68
2. iptrace抓包时注意什么
用tcpmp 抓下来的包(保存为文件),可以用WireShark 打开。把 tcpmp抓下来的包保存为文件,用-w参数。比如:tcpmp -i eth0 -w filename2,tcpmp抓包的时候,会对数据包进行截取,默认只保存96个字节,例如以下:[[email protected] ~]# tcpmp host 10.243.255.241 -w sms-20101206-casp1-01tcpmp: listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes这样就看不到数据包的信息了,用-s参数可以指定保留数据包多少字节。例如:[[email protected] ~]# tcpmp -s 65535 host 10.243.255.241 -w sms-20101206-casp1-01tcpmp: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytessolaris系统上抓包命令:snoop执行命令:snoop -o ./test.pcap 10.1.125.197这个命令是要求系统把与10.1.125.197通讯的数据包记录到test.pcap文件中抓下来的数据包保存后,也可以用wireshark打开。AIX系统上的抓包命令:iptrace典型命令格式:iptrace -d 10.1.1.1 -b /temp/iptrace.pcap其中-d 后面表示目标地址,-b 表示双向通信这条命令是将与10.1.1.1通讯的数据包记录到iptrace.pcap文件中。抓下来的数据包保存后,也可以用wireshark打开。需要注意的是:抓包完成时一定要kill掉iptrace的进程(使用ctrl+c无法终止抓包程序),否则会一直抓包。
3. tcpmp抓包命令
1、tcpmp:默认启动。普通情况下,直接启动tcpmp将监视第一个网络接口上所有流过的数据包。
2、tcpmp -i eth1:监视指定网络接口的数据包,如果不指定网卡,默认tcpmp只会监视第一个网络接口,一般是eth0,下面的例子都没有指定网络接口。
3、tcpmp host sundown:监视指定主机的数据包。打印所有进入或离开sundown的数据包。
4、tcpmp -i eth0 src host hostname:截获主机hostname发送的所有数据。
5、tcpmp -i eth0 dst host hostname:监视所有送到主机hostname的数据包。
6、tcpmp tcp port 23 and host 210.27.48.1:如果想要获取主机210.27.48.1接收或发出的telnet包。
7、tcpmp udp port 123:对本机的udp 123端口进行监视123为ntp的服务端口。
4. tcpmp抓包
tcpmp -s 200 -w tcpmp.pac -x200是抓包长度,tcpmp.pac是保存的文件,可能在当前或用户目录下tcpmp -r tcpmp.pac -n -X直接读出记录文件,用16进制和字符两种方式显示,-x只有16进制
5. tcpmp抓包命令详解 抓的包在哪
默认系统里边没有安装有tcpmp的,无法直接使用这里我们可以使用yum来直接安装它yum install -y tcpmp如果忘记了这个软件的用法,我们可以使用 tcpmp –help 来查看一下使用方法一般我们的服务器里边只有一个网卡,使用tcpmp可以直接抓取数据包,但是这样查看太麻烦了,所以都会添加参数来进行获取的。例如我截取本机(192.168.31.147)和主机114.114.114.114之间的数据tcpmp -n -i eth0 host 192.168.31.147 and 114.114.114.114还有截取全部进入服务器的数据可以使用以下的格式tcpmp -n -i eth0 dst 192.168.31.147或者服务器有多个IP 可以使用参数tcpmp -n -i eth0 dst 192.168.31.147 or 192.168.31.157我们抓取全部进入服务器的TCP数据包使用以下的格式,大家可以参考下 tcpmp -n -i eth0 dst 192.168.31.147 or 192.168.31.157 and tcp从本机出去的数据包tcpmp -n -i eth0 src 192.168.31.147 or 192.168.31.157tcpmp -n -i eth0 src 192.168.31.147 or 192.168.31.157 and port ! 22 and tcp或者可以条件可以是or 和 and 配合使用即可筛选出更好的结果。
6. linux 命令tcpmp能不能实时保存抓包结果到文件里而不是抓包结束后才保存一次
文件系统有缓冲区,不会直接写入多做几遍sync,或者以同步方式挂载文件系统
7. 组播v3 怎么tcpmp抓包
你好,我使用的是ubuntu 14.04(虚拟机),可以打开终端输入tcpmp命令抓包。我经常使用的命令是tcpmp -i eth0 -w web.pcap。i参数表示网卡,w参数表示将抓包结果保存到pcap文件中,这样接下来可以使用wireshark查看。如果还想明白别的参数的意义的话,可以输入tcpmp -h,就显示帮助信息了。还有,要使用tcpmp,最好切换到root用户(sudo命令)。再复制一部分别的的用法,也可以自己再搜索一下:-A 以ASCII码方式显示每一个数据包(不会显示数据包中链路层头部信息). 在抓取包含网页数据的数据包时, 可方便查看数据(nt: 即Handy for capturing web pages).-c count tcpmp将在接受到count个数据包后退出.-C file-size (nt: 此选项用于配合-w file 选项使用) 该选项使得tcpmp 在把原始数据包直接保存到文件中之前, 检查此文件大小是否超过file-size. 如果超过了, 将关闭此文件,另创一个文件继续用于原始数据包的记录. 新创建的文件名与-w 选项指定的文件名一致, 但文件名后多了一个数字.该数字会从1开始随着新创建文件的增多而增加. file-size的单位是百万字节(nt: 这里指1,000,000个字节,并非1,048,576个字节, 后者是以1024字节为1k, 1024k字节为1M计算所得, 即1M=1024 * 1024 = 1,048,576)-d 以容易阅读的形式,在标准输出上打印出编排过的包匹配码, 随后tcpmp停止.(nt | rt: human readable, 容易阅读的,通常是指以ascii码来打印一些信息. compiled, 编排过的. packet-matching code, 包匹配码,含义未知, 需补充)-dd 以C语言的形式打印出包匹配码.-ddd 以十进制数的形式打印出包匹配码(会在包匹配码之前有一个附加的'count'前缀).-D 打印系统中所有tcpmp可以在其上进行抓包的网络接口. 每一个接口会打印出数字编号, 相应的接口名字, 以及可能的一个网络接口描述. 其中网络接口名字和数字编号可以用在tcpmp 的-i flag 选项(nt: 把名字或数字代替flag), 来指定要在其上抓包的网络接口. 此选项在不支持接口列表命令的系统上很有用(nt: 比如, Windows 系统, 或缺乏 ifconfig -a 的UNIX系统); 接口的数字编号在windows 2000 或其后的系统中很有用, 因为这些系统上的接口名字比较复杂, 而不易使用. 如果tcpmp编译时所依赖的libpcap库太老,-D 选项不会被支持, 因为其中缺乏 pcap_findalldevs()函数.-e 每行的打印输出中将包括数据包的数据链路层头部信息
8. tcpmp抓包后怎么下载到本地
tcpmp -s 200 -w tcpmp.pac -x200是抓包长度,tcpmp.pac是保存的文件,可能在当前或用户目录下tcpmp -r tcpmp.pac -n -X直接读出记录文件,用16进制和字符两种方式显示,-x只有16进制
9. linux下tcpmp抓包存在什么位置
tcpmp默认的是标准输出,一般来讲就是显示器,如果要将抓包结果保存到文件则需要使用-w参数,例如:
$tcpmp-ieth1-w/tmp/xxx.cap
抓eth1的包
10. 怎么在虚拟机用tcpmp抓宿主机的包
tcpmp是于网卡上进行抓包,所以只能抓到本地网卡上的数据包可以指定目标IP是宿主机的IP 也就虚拟机和宿主机之间的数据包如果是要抓宿主机网卡的上包是做不到的,除非宿主机开了ssh Telnet等远程手段,于虚拟机上在远程回主机 在抓包
未经允许不得转载:山九号 » tcpdump抓包保存文件|linux 命令tcpdump能不能实时保存抓包结果到文件里而不是抓包结束后才保存一次
