蚂蚁网-多维人生，三实而立！

【转】tcpdump使用手册

作者：易隐者 发布于：2012-6-16 17:35 Saturday 分类：参考资料

       Linux下使用最广泛的就是tcpdump，下面是tcpdump的使用手册：

总览 (SYNOPSIS)

tcpdump [ -adeflnNOpqStvx ] [ -c count ] [ -F file ] [ -i interface ] [ -r file ] [ -s snaplen ] [ -T type ] [ -w file ] [ expression ]  

描述 (DESCRIPTION)

Tcpdump显示网络接口上符合布尔表达式expression的报头.
对于SunOS的nit或 bpf 界面: 要运行tcpdump，你必须有/dev/nit或/dev/bpf*的读访问权限.
对于Solaris 的dlpi:你必须有网络仿真设备(network pseudo device)， 如/dev/le的读访问权限
对于HP-UX的dlpi:你必须是 root， 或者把它安装成root的setuid程序.
对于IRIX的snoop: 你 必须是 root， 或者把它安装成root的setuid 程序. 对于Linux:你必须是root，或者把它安装成 root的setuid程序.
对于Ultrix和Digital UNIX: 一旦超级用户用pfconfig(8)开放了杂凑模式(promiscuous-mode)，任何用户都可以运行tcpdump.
对于BSD: 你必须有/dev/bpf*的读访问权限.

选项 (OPTIONS)

-a
试着把网络和广播地址转换成名称.
-c
当收到count个报文后退出.
-d
把编译好的报文匹配模板 (packet-matching code) 翻译成可读形式，传往标准输出，然后退出.
-dd
把报文匹配模板(packet-matching code)以C程序片断的形式输出.
-ddd
把报文匹配模板(packet-matching code)以十进制数形式输出(前面加上总数).
-e
每行都显示链路层报头.
-f
用数字形式显示“外部的”互联网地址，而不是字符形式(这个选项用来绕开脑壳坏掉的SUN黄页服务器的问题——一般说来，它翻译外部网络数字地址的时候 会长期挂起).
-F
指定文件file的内容为过滤表达式. 忽略命令行上的表达式.
-i
监听interface接口.如果不指定接口，tcpdump在系统的接口清单中，寻找号码最小，已经配置好的接口(loopback除外).选中的时候会中断连接.
-l
行缓冲标准输出.可用于捕捉数据的同时查看数据. 例如，
``tcpdump  -l  |  tee dat'' or’`tcpdump  -l   > dat  &  tail  -f  dat''.
-n
不把 地址 转换成 名字 (如主机地址， 端口号等)
-N
不显示 主机名字 中的 域名 部分. 例如， 如果 使用 这个 选项， tcpdump 只显示’`nic''， 而不是’`nic.ddn.mil''.
-O
禁止运行 报文匹配模板 的 优化器. 当 怀疑 优化器 含有 bug 时， 这个选项 才有用.
-p
禁止 把 接口 置成 promiscuous 模式. 注意， 接口 有可能 因 其他原因而 处于 promiscuous 模式; 因此， '-p' 不能 作为’ether host {local-hw-addr} 或 ether broadcast' 的 简写.
-q
快速输出. 显示 较少的 协议信息， 输出行 将 短一点点.
-r
从 file 中 读入 数据报 (文件 是用 -w 选项 创建的). 如果 file 是’`-''， 就 读 标准输入.
-s
从每个 报文 中 截取 snaplen 字节的数据， 而不是 缺省的 68 (如果是 SunOS 的 NIT， 最小值是 96). 68 个字节 适用于 IP， ICMP， TCP 和 UDP， 但是 有可能 截掉 名字服务器 和 NFS 报文 的 协议 信息 (见下面). 输出时 如果指定’`[|proto]''， tcpdump 可以 指出 那些 捕捉量过小的 数据报， 这里的 proto 是 截断发生处 的 协议层 名称. 注意， 采用 更大的 捕捉范围 既增加了 处理 报文 的 时间， 又 相应的 减少了报文的 缓冲 数量， 可能 导致 报文的丢失. 你 应该 把 snaplen 设的尽量小， 只要 能够 容纳 你 需要 的 协议信息 就可以了.

-T
把 通过 "expression" 挑选出来的 报文 解释成 指定的 type. 目前 已知 的 类型 有: rpc (远程过程调用 Remote Procedure Call)， rtp (实时应用协议 Real-Time Applications protocol)， rtcp (实时应用控制协议 Real-Time Applications control protocol)， vat (可视音频工具 Visual Audio Tool)， 和 wb (分布式白板 distributed White Board).
-S
显示 绝对的， 而不是 相对的 TCP 序列号.
-t
禁止 显示 时戳标志.
-tt
显示 未格式化的 时戳标志.
-v
(稍微多一点) 繁琐的输出. 例如， 显示 IP 数据报 中的 生存周期 和 服务类型.
-vv
更繁琐的输出. 例如， 显示 NFS 应答报文 的 附加域.
-w
把 原始报文 存进 file， 不分析 也 不显示. 它们 可以 以后 用 -r 选项 显示. 如果 file 是’`-''， 就 写到 标准输出.

阅读全文>>

标签: TCP tcpdump UDP 抓包 Linux 报文

评论(0) 引用(0) 浏览(91578)

爱立信SE800型号的路由器端口镜像设置

作者：易隐者 发布于：2012-5-13 20:20 Sunday 分类：参考资料

该设备的总体设计比较复杂，可以通过context的方式在一个硬件路由器中虚拟出来多个路由器，即通过一台路由器即可实现复杂的网络拓扑组网试验，镜像配置数据较为复杂，模式如下：

1，配置镜像数据

-------------------------------------------------------------------------------

（1）先配置镜像转发策略：

forward policy TEST 

//TEST为一个策略的名字，可随意配置，在源数据的vlan下配置时需要用到

mirror destination MIRRORPORT all ip-detagrams

//MIRROPORT是一个目的的标示，也可随意设置，在输出端口的配置时需要用到

-------------------------------------------------------------------------------

（2）配置源端口的镜像数据：

port bvi vlan 1360-bvi(二层接口的方式)    | port ethernet 2/1(三层接口方式)

forward policy TEST in                    |pvc 1021

forward policy TEST  out                  |forward policy TEST inbound

                                           forward policy TEST outbound

-------------------------------------------------------------------------------

（3）配置现场抓包端口的数据

port ethernet 1/1

no shutdown

forword output MIRRORPORT

-------------------------------------------------------------------------------

2，删除镜像 在配置的新数据指令前加 no 即可

阅读全文>>

标签: 端口镜像 mirror 爱立信路由器

评论(0) 引用(0) 浏览(4701)

安耐特交换机端口镜像设置

作者：易隐者 发布于：2012-5-13 20:19 Sunday 分类：参考资料

       安耐特交换机端口镜像设置实例：

交换机总共24个口,把1-23的数据包镜像到24口上
set switch port=1-23 mirror=both
set switch mirror=24
enable switch mirror

阅读全文>>

标签: 端口镜像 mirror 安耐特交换机

评论(0) 引用(0) 浏览(4743)

神州数码交换机端口镜像设置

作者：易隐者 发布于：2012-5-13 20:16 Sunday 分类：参考资料

神码3526S/3926S

指定镜像源端口：
Switch(Config)#monitor  session  1 source interface e  1,2-4 　0/0/2-4　tx
Switch(Config)#monitor session　<session>  source interface e 端口列表　｛tx,rx,both｝　rx为镜像源端口接收的流量；tx为镜像从源端口发出的流量；both为源端口入和出的流量。
指定镜像目的端口；
Switch(Config)# monitor session 1 destination interface eth 25　0/0/25为3926端口
Switch(Config)#monitor session <session> destination interface <interface-number>

其他配置型号端口镜像

命令： [no] mirror-port ethernet <portnum>
功能： 激活镜像端口
命令模式： 特权配置模式
参数： <portnum>为镜像端口的端口号
命令： [no] monitor ethernet <portnum> [ethernet <portnum>...] both | in | out
功能： 激活被镜像的端口的镜像功能
命令模式： 端口配置模式
参数： <portnum>为镜像端口端口号；both | in | out分别代表双向流量，输入流量，输出流量
举例一：
DCRS-7500(config)# mirror-port ethernet 4/1
DCRS-7500(config)# interface ethernet 4/3
DCRS-7500(config-if-4/3)# monitor ethernet 4/1 both
上述命令将端口4/3上的双向流量镜像到端口4/1，用户可以在端口4/1外接协议分析仪来查看端口4/3的流量信息。
举例二：
DCRS-7500(config)# interface ethernet 1/2
DCRS-7500(config-if-1/2)# monitor ethernet 1/1 in
DCRS-7500(config-if-1/2)# interface ethernet 1/3
DCRS-7500(config-if-1/3)# monitor ethernet 1/1 in
DCRS-7500(config-if-1/3)# interface ethernet 1/4
DCRS-7500(config-if-1/4)# monitor ethernet 1/1 in
上述命令把端口1/2，1/3和1/4的输入流量镜像到端口1/1。

镜像链路聚合组中的单独端口

默认状态下，当镜像链路聚合组中的主端口时，链路聚合组中的所有端口的流量都被镜像到镜像端口。用户可以配置只镜像链路聚合组中的单独端口。
命令： [no] monitor ethe-port-monitored <portnum> | named-port-monitored <portname>
ethernet <portnum> in | out | both
功能： 镜像链路聚合组中的单独端口
命令模式： 链路聚合配置模式
参数： ethe-port-monitored <portnum> | named-port-monitored <portname>参数指定了链路聚合组中被镜像的端口，ethe-port-monitored <portnum>指定被镜像的端口号码，named-portmonitored <portname>指定被镜像的端口名称；ethernet | <portnum>指定镜像端口号码，这个端口外接协议分析仪；both | in | out分别代表双向流量，输入流量，输出流量
举例：
DCRS-7500(config)# mirror ethernet 2/1
DCRS-7500(config)# trunk switch ethernet 4/1 to 4/8
DCRS-7500(config-trunk-4/1-4/8)# monitor ethe-port-monitored 4/5 ethernet 2/1 in
上述命令设置端口2/1镜像链路聚合组中端口4/5的输入流量。
命令： [no] config-primary-ind
功能： 镜像链路聚合组中的主端口
命令模式： 链路聚合配置模式
举例：
DCRS-7500(config)# mirror ethernet 2/1
DCRS-7500(config)# trunk switch ethernet 4/1 to 4/8
DCRS-7500(config-trunk-4/1-4/8)# config-primary-ind
DCRS-7500(config-trunk-4/1-4/8)# monitor ethe-port-monitored 4/1 ethernet 2/1 out
上述命令设置端口2/1镜像链路聚合组中主端口4/1的输出流量。
显示端口镜像配置

命令： show monitor
功能： 显示端口镜像配置
命令模式： 全局配置模式
举例：
DCRS-7500(config)# show monitor
Mirror Interface: ethernet 4/1
Monitored Interfaces:
Both Input Output
---------------------------------------------------
ethernet 4/3

阅读全文>>

标签: 端口镜像 神州数码交换机

评论(0) 引用(0) 浏览(6297)

D-link交换机端口镜像设置

作者：易隐者 发布于：2012-5-13 20:13 Sunday 分类：参考资料

D-link 3226

将端口 2的所有数据复制一份到端口 1
DES-3226S:4#config mirror port 1 add source ports 2 both
看看配置
DES-3226S:4#show mirror
Command: show mirror
Current Settings
Mirror Status: Disabled
Target Port : 1
Mirrored Port
RX: 2
TX: 2
注意 Mirror Status: Disabled 是 disable的 ，所以我们要打开
DES-3226S:4#enable mirror
Command: enable mirror
Success.
端口配完以后,有的朋友还要加这么一条命令
DES-3226S:4#config port mirroring source port b target port 1
这样端口就算完成。

阅读全文>>

标签: 端口镜像 D-link D-link交换机

评论(0) 引用(0) 浏览(7692)