(zz) tcpdump简单应用

发表于2007年08月13日langou00
转自http://gosman.blogbus.com/logs/5504841.html

2007-05-25


原文:simple usage of tcpdump

作者:mysurface

译者:gosman(lianmingchang2008#gmail.com)

来自:http://gosman.blogbus.com

版本:V 1.0.0

时间:2007-5-25

这是我今天从geek001知道的。tcpdump是非常强大的网络安全分析工具,可以将网络上截获的数据包保存到文件以备分析。可以定义过滤规则,只截获感兴趣的数据包,以减少输出文件大小和数据包分析时的装载和处理时间。

这篇文章只涉及tcpdump的基本用法,请记住tcpdump比我描述的强大的多。

针对网络接口、端口和协议的数据包截取。假定你要截取网络接口eth1,端口号6881的tcp数据包。数据文件保存为test.pcap。

tcpdump -w test.pcap -i eth1 tcp port 6881

很简单吧?如果要同时截取udp端口号33210和33220的数据包呢?

tcpdump -w test.pcap -i eth1 tcp port 6881 or udp \( 33210 or 33220 \)

‘\’是转义字符,逻辑符号OR是加(+)的意思。其他表达式是截取端口号6881的tcp包加上端口号33210和33220的UDP包。
tcpdump过滤表达式的and运算符是交集的意思,因此截取端口号33210和33220的UDP包使用 or 而不是
and。and运算符的用法在下文描述。

怎样保存文件读取数据包呢?

tcpdump -nnr test.pcap

选项 -nn 不把网络IP和端口号转换成名字,r(read)读取包。

可以添加 -tttt 选项使时间戳格式更加可读。

tcpdump -ttttnnr test.pcap

怎样针对IP截取数据?

需向tcpdump指明IP类型,目的IP还是源IP?比如要嗅探的目的IP为10.168.28.22,tcp端口号22。

tcpdump -w test.pcap dst 10.168.28.22 and tcp port 22

目的IP和端口的交集(intersection),使用and运算符。

嗅探数据包大小缺省为96 bytes,可以指定 -s 改变缺省值。

tcpdump -w test.pcap -s 1550 dst 10.168.28.22 and tcp port 22

有些版本的tcpdump允许指定端口范围,下述指令为针对一定端口范围截取数据。

tcpdump tcp portrange 20-24

注意,上述指令没有指定 -w 把截取的数据包保存到文件而是直接输出到屏幕。

不知道端口号使用tcpdump

互联网的数据流量太大,可以使用lsof搜索指定端口。lsof的例子可以参考 Monitor who runs what, listen to what ports, established what connections

发表在 未分类 | 留下评论

临时转移阵地

发表于2007年01月16日langou00
地震造成海底光缆受损后,网络尚未修复。无法上我的个人网站更新,只好先在这儿临时安个窝了。呵呵。
发表在 未分类 | 留下评论

Transmitter is verified.

发表于2006年10月11日langou00
Use the data set of basic66 and basic66_1 which just replace the last three zeros in basic66 by ones.
发表在 未分类 | 留下评论

Sysgen update from 7.1 to 8.2

发表于2006年10月11日langou00
In matlab, use xlUpdateModel(‘modelname’,’Assert’);
Then in the Receiver module, add the Assert block by hand. Just follow the Page 5-6 in Sysgen 8.2 manual.

However, the output data is totally different from the input data.

发表在 Work | 留下评论

我的Blog

发表于2006年09月7日langou00
感谢大家一直以来对我的关心和爱护,不过我已经把自己的Blog迁移至
http://langou.to.3322.org
希望大家继续为我捧场,呵呵,感谢你们!
发表在 未分类 | 留下评论

发表于2006年08月3日langou00
美国,洛杉矶
一个陌生的城市,却因为遍布的黄种人,又显得那么熟悉

家徒四壁
举目无亲
倍加思念家人和爱人
不禁滚下两行热泪

发表在 未分类 | 7条评论

谈论Transmission range & interference range in ns2

发表于2006年03月31日langou00

 

引用

Transmission range & interference range in ns2

The transmission range can be configured through setting RXThresh_. RXThresh_ for specific transmission range can be calculated through ns-2.27/indep-utils/propagation/threshold.cc, which can be used as

./threshold -m TwoRayGround 30.

Here the 30 means transmission range of 30 meters. The default value of RXThresh_ is 3.652e-10, which means we have a transmission range of 250m.

The interference range can be set through setting CSThresh_ (Carrier Sense Threshold), which can also be calculated through ns-2.27/indep-utils/propagation/threshold.cc. The default value of CSThresh_ is 1.559e-11 denoting interference range of 550m.

The CPThresh_ is used to determine the receiving of a packet is a capture or a collision.

/*
 *  If the power of the incoming packet is smaller than the
 *  power of the packet currently being received by at least
 *  the capture threshold, then we ignore the new packet.
 */
if(pktRx_->txinfo_.RxPr / p->txinfo_.RxPr >= p->txinfo_.CPThresh) {
    capture(p);
} else {
    collision(p);
}

void
Mac802_11::capture(Packet *p)
{
    // Update the NAV so that this does not screw up carrier sense.
    set_nav(usec(phymib_.getEIFS() + txtime(p)));
    Packet::free(p);
}

The default value of CPThresh_ is 10.0. I don’t know what exact does this mean. I guess if the ratio of the received power levels of the two packets is greater than CPThresh_, the previously received packet is correctly received, but the NAV is set to indicate an error has occurred.

发表在 未分类 | 留下评论

一年

发表于2005年07月8日langou00
一年。记忆却是模糊的。似乎是在浑浑噩噩中,又似乎是在忙忙碌碌中度过的。

还记得那个穿着学士服意气风发的我吗?记得,因为不。可又好像有些远。

不自信了吗?应该不是,可是,的确有些不如那时的自己了。

优秀?似乎还是。我相信自己的IQ,相信自己的ability,因为耳边似乎不乏赞美和肯定。

在怀疑什么呢?可能,是我的情。我在怀疑自己的爱恨感觉是否正常,是否如自己每每以为的那般强烈或浅薄。

我不明白,为何我可以对一件件事充满足以感染周遭陌人的激情,却对足以终身珍惜的可爱之人无法保持长久的热情。是她不再可爱了吗?也许,因为亲近使彼此更加了解,连曾经无法注意的一丝龌嵯都变得印象深刻。可是,这重要吗?似乎并不足以让我失去热情。

我是一个喜新厌旧的君子吗?当这个问题隐现脑海时,我浑身颤抖。可我一直都梦想与另一半携手走完这一生,真的,就那么平淡,那么自然。可惜,温馨,到平淡,也许就差一勺糖的滋味。

我是一个善于内省的人。我走进了心理分析的世界,在茫茫慧海中寻找答案,可让我失望和不安的是,这种妄图对自身人性的解读不但没有给我一个欣慰和光明的答案,而且让我趋于对人性的隔膜——不是说我失去人性了,而是,我用理性去认识感性时,这本身就是一件很荒谬的事。试图找回热情的我,却惊恐地发现,自己正在一点点失去热情。在大洋中,我无力地下沉,带着一丝微笑。诡异。

为何会这样?是我经历太多了吗?可笑!上帝要知道我这么想,肯定会发笑。是我过多沉迷于诸如网络文学或心理电影这般虚无飘渺之中了吗?呵,也许是吧,至少如今的我在面对那些让人起生理反应的情色描写或变态镜头时,竟然可以沉静地如上帝般去审视这一切,然后坦然地告诉自己:这是个多么复杂而斑斓的世界,一切其实不值得惊奇。呵呵,有趣。

我在孤芳自享吗?鬼知道。我神经还正常吗?但愿是。可能熬夜太多了吧,一直没睡醒过。

好想沉沉地睡一觉……还会醒来吗?可恶,这不是我十五六岁时才问过的问题吗?还是没长进。不过这也没什么好奇怪的,我已经有近十年没再思考过这个问题了。

……

一年没上水木BLOG了。原以为水木会面目全非,现在看来似乎一切安好。就是徒增了一个兄弟。这两个水木,我都不怎么喜欢,还是很怀念曾经的那个。

还怀念曾经的那个我吗?不。尽管感觉那个我过得更好。

发表在 未分类 | 3条评论