Ⅰ suse linux下用tcpmp抓包,信息量比較大的時候,設置過濾條件抓不到包,為什麼
tcpmp -s 0 -i eth1 host 192.168.1.100 >> ~/e.log | tail -f ~/e.log | grep XXX --color
沒有試過,簡單的寫個類似專樓上的思屬路。
Ⅱ 用tcpmp抓包,過濾規則有些看不懂,求高手解答
tcp頭開始偏移20個位元組後的兩個位元組為0x4745或0x4854的包。如果沒有可選項的TCP包,應該是指版TCP發送的數據權數據開頭兩個位元組為0x4745或0x4854的包
抓ARP響應包:arp && arp[6:2]==0002
Ⅲ 詢問一個TCPDUMP語法問題 在抓TCP包時不能指定IP嗎
可以指定IP,篩選條件可以給你參考下:
tcpmp :
-i: 後跟網卡名;
host:後跟主機IP;
-a —— 將網路地址和廣播地址轉變成名字;
-c —— 指定抓取的數據包數量;
-n:不把主機IP轉為主機名;
-r:指定從某個文件中讀取數據包;
-e:指定將監聽到的數據包鏈路層的信息列印出來,包括源mac和目的mac,以及網路層的協議;
-nn:不把ip、協議、埠等轉為名字;
-T —— 將監聽到的包直接解釋為指定的類型的報文,常見的類型有rpc (遠程過程調用)和snmp(簡單網路管理協議);
-w —— 直接將包寫入文件中,並不分析和列印出來;
and:條件篩選,包含兩個地址;
or:條件篩選,兩個之中的一個;
src:後跟起始地址;
dst:後跟目的地址;
tcpmp的表達式
表達式是一個正則表達式,tcpmp利用它作為過濾報文的條件,如果一個報文滿足表達式的條件,則這個報文將會被捕獲。如果沒有給出任何條件,則網路上所有的信息包將會被截獲。在表達式中一般如下幾種類型的關鍵字。
第一種是關於類型的關鍵字,主要包括host,net,port, 例如 host 210.27.48.2,指明 210.27.48.2是一台主機,net 202.0.0.0 指明 202.0.0.0是一個網路地址,port 23 指明埠號是23。如果沒有指定類型,預設的類型是host.
第二種是確定傳輸方向的關鍵字,主要包括src , dst ,dst or src, dst and src ,這些關鍵字指明了傳輸的方向。舉例說明,src 210.27.48.2 ,指明ip包中源地址是210.27.48.2 , dst net 202.0.0.0 指明目的網路地址是202.0.0.0 。如果沒有指明方向關鍵字,則預設是src or dst關鍵字。
第三種是協議的關鍵字,主要包括fddi,ip,arp,rarp,tcp,udp等類型。Fddi指明是在FDDI(分布式光纖數據介面網路)上的特定的網路協議,實際上它是」ether」的別名,fddi和ether具有類似的源地址和目的地址,所以可以將fddi協議包當作ether的包進行處理和分析。其他的幾個關鍵字就是指明了監聽的包的協議內容。如果沒有指定任何協議,則tcpmp將會監聽所有協議的信息包。
除了這三種類型的關鍵字之外,其他重要的關鍵字如下:gateway, broadcast,less,greater,還有三種邏輯運算,取非運算是 『not 『 『! 『, 與運算是』and』,'&&』;或運算 是』or』 ,』││』;這些關鍵字可以組合起來構成強大的組合條件來滿足人們的需要,下面舉幾個例子來說明。
A)想要截獲所有210.27.48.1 的主機收到的和發出的所有的數據包:
tcpmp host 210.27.48.1
B)想要截獲主機210.27.48.1 和主機210.27.48.2 或210.27.48.3的通信,使用命令:(在命令行中使用 括弧時,一定要轉義)
tcpmp host 210.27.48.1 and (210.27.48.2 or 210.27.48.3 )
C)如果想要獲取主機210.27.48.1除了和主機210.27.48.2之外所有主機通信的ip包,使用命令:
tcpmp ip host 210.27.48.1 and ! 210.27.48.2
D)如果想要獲取主機210.27.48.1接收或發出的telnet包,使用如下命令:
tcpmp tcp port 23 and host 210.27.48.1
E 對本機的udp 123 埠進行監視 123 為ntp的服務埠
# tcpmp udp port 123
F 系統將只對名為hostname的主機的通信數據包進行監視。主機名可以是本地主機,也可以是網路上的任何一台計算機。下面的命令可以讀取主機hostname發送的所有數據:
#tcpmp -i eth0 src host hostname
G 下面的命令可以監視所有送到主機hostname的數據包:
#tcpmp -i eth0 dst host hostname
H 我們還可以監視通過指定網關的數據包:
#tcpmp -i eth0 gateway #Gatewayname#
I 如果你還想監視編址到指定埠的TCP或UDP數據包,那麼執行以下命令:
#tcpmp -i eth0 host hostname and port 80
J 如果想要獲取主機210.27.48.1除了和主機210.27.48.2之外所有主機通信的ip包,使用命令:
#tcpmp ip host 210.27.48.1 and ! 210.27.48.2
K 想要截獲主機210.27.48.1 和主機210.27.48.2 或210.27.48.3的通信,使用命令:(在命令行中適用括弧時,一定要加/
#tcpmp host 210.27.48.1 and \(210.27.48.2 or 210.27.48.3\)
L 如果想要獲取主機210.27.48.1除了和主機210.27.48.2之外所有主機通信的ip包,使用命令:
#tcpmp ip host 210.27.48.1 and ! 210.27.48.2
M 如果想要獲取主機210.27.48.1接收或發出的telnet包,使用如下命令:
#tcpmp tcp port 23 host 210.27.48.1
Ⅳ 如何用tcpmp抓取sip信令
1、開源的sip伺服器端,比較好用的是Asterisk,標准C程序實現,代碼清晰。
2、sip的client相對比較多,主要有exosip,pjsip和opal。exosip簡單易用,在PC上用比較方便。但是涉及的相關資源太多,用了osip,srtp,ms2等眾多的開源庫,ms2下面還用到了ffmpeg,別的不說,光編譯就是噩夢。opal功能最強,雖然也用到了ffmpeg ,但是自己封裝的非常好,採用插件方式,調用靈活。opal採用class方式提供封裝,介面非常友好。感覺唯一不爽的地方,就是低層使用了ptlib,雖然多平台下都很好用,但放在嵌入式下感覺稍龐大了一些。pjsip精巧,方便移植,嵌入式下應該是首選。不過視頻頻支持方面擴展起來比opal麻煩。個人感覺,對於windows開發者來說,pjsip最大的好處就是代碼調試方便。整個工程一次編譯通過,另外兩個庫還要找很多相關的資源
。
3、其他的一些協議棧也調試過,比如reSipphone,好象是這個名字,還有Yate,不過從快速開發角度看,都不太合適。現在搞sip開發的,一開始就是先找好協議棧。linphone,ekiga什麼的,但龐大。對於剛開始做的,最好是一個精簡的demo。後來找到pjsip下面的幾個例子,慢慢地了解了sip的工作流程,當然少不了抓包工具和tcpmp。
不過,其實,sip沒有想像中的那麼麻煩。現在回頭看,剛開始做項目,使用協議棧絕對不是好想法。如果換個方向,先熟悉SIP基本協議,然後自己改造一個,或完全寫一個,可能效果更好。
Ⅳ tcpmp可以過濾報文長度嗎即:只抓取報文長度為512位元組的報文
報頭中有兩個表示長度的域 ,一個為報頭長度,一個為總長度。報頭長度 以32bit為單位,指出該報頭的長度。在沒有專 選項和填充的情況下,該值為「5」。總長度以屬8 bit為單位,指示整個IP數據報的長度,其中包 括頭部長度和數據區長度。
(160+512)÷8=84
Ⅵ tcpmp怎麼抓dhcp的包
/usr/sbin/tcpmp -i eth0 -s 1500 -w dhcp.pcap 'udp and port 67 and port 68'
-i 指定抓包網卡
-s 指定抓包長度,默認只抓包頭
-w 將抓包內容保存下來,然後用wireshark之類的軟體看更方便。如果想要在屏幕滾動查看,忽略這個選項
udp and port 67 and port 68:dhcp報文的過濾條件,udp協議,埠67和68
Ⅶ tcpmp怎麼過濾mac地址
可以指定IP,篩選條抄件可以給你參考下: tcpmp : -i: 後跟網卡名; host:後跟主機IP; -a —— 將網路地址和廣播地址轉變成名字; -c —— 指定抓取的數據包數量; -n:不把主機IP轉為主機名; -r:指定從某個文件中讀取數據包; -e:指定將監聽...
Ⅷ windows下有什麼利用命令過濾報文的方法嗎,就像Linux的tcpmp那種
Windows命令行沒有Linux那麼使用,建議您還是用軟體吧。wireshark應該能滿足您的需要
Ⅸ tcpmp 協議過濾哪些協議
tcpmp 協議過濾
作為業界標準的捕獲工具,tcpmp提供了強大而又靈活的包過濾功回能。作為tcpmp基礎答的libpcap包捕獲引擎支持標準的包過濾規則,如基於5重包頭的過濾(如基於源/目的IP地址/埠和IP協議類型)。
tcpmp/libpcap的包過濾規則也支持更多通用分組表達式,在這些表達式中,包中的任意位元組范圍都可以使用關系或二進制操作符進行檢查。對於位元組范圍表達,你可以使用以下格式:
proto [ expr : size ]
「proto」可以是熟知的協議之一(如ip,arp,tcp,udp,icmp,ipv6),「expr」表示與指定的協議頭開頭相關的位元組偏移量。有我們熟知的直接偏移量如tcpflags,也有取值常量如tcp-syn,tcp-ack或者tcp-fin。「size」是可選的,表示從位元組偏移量開始檢查的位元組數量。
使用這種格式,你可以像下面這樣過濾TCP SYN,ACK或FIN包。