① tcpmp 协议过滤哪些协议
tcpmp 协议过滤
作为业界标准的捕获工具,tcpmp提供了强大而又灵活的包过滤功回能。作为tcpmp基础答的libpcap包捕获引擎支持标准的包过滤规则,如基于5重包头的过滤(如基于源/目的IP地址/端口和IP协议类型)。
tcpmp/libpcap的包过滤规则也支持更多通用分组表达式,在这些表达式中,包中的任意字节范围都可以使用关系或二进制操作符进行检查。对于字节范围表达,你可以使用以下格式:
proto [ expr : size ]
“proto”可以是熟知的协议之一(如ip,arp,tcp,udp,icmp,ipv6),“expr”表示与指定的协议头开头相关的字节偏移量。有我们熟知的直接偏移量如tcpflags,也有取值常量如tcp-syn,tcp-ack或者tcp-fin。“size”是可选的,表示从字节偏移量开始检查的字节数量。
使用这种格式,你可以像下面这样过滤TCP SYN,ACK或FIN包。
② 怎么把tcpmp抓到的数据
/usr/sbin/tcpmp -i eth0 -s 1500 -w dhcp.pcap 'udp
and port 67 and port 68' -i 指定抓包网卡 -s 指定抓包长度,默认只抓包头 -w
将抓包内容保存下来,然后用wireshark之类的软件看更方便。如果想要在屏幕滚动查看,忽略这个选项 udp and port 67 and
port 68:dhcp报文的过滤条件,udp协议,端口67和68
③ 怎样设置tcpmp抓包的缓冲大小值
你好,你可以试试我这个:
sec=300
while [ 1 ]
do
killall tcpmp
mv ip.packet ip.packet.1
tcpmp -w ip.packet -s 0 tcp or udp &
rrd_data=""
traffic=`tcpmp -r ip.packet.1 src 192.168.0.1 and dst 192.168.0.2 -v | sed -e 's/.*, length: \(.*\))/\1/g' | awk -F " " '{print $1}'| sed -e 's/)//g'| tr '\n' '+'`
traffic=`echo ${traffic}0 | bc`
traffic=`expr $traffic / $sec`
rrd_data=$traffic
echo $rrd_data >1.txt
echo $rrd_data >>2.txt
sleep $sec
done
④ 用tcpmp抓包,过滤规则有些看不懂,求高手解答
tcp头开始偏移20个字节后的两个字节为0x4745或0x4854的包。如果没有可选项的TCP包,应该是指版TCP发送的数据权数据开头两个字节为0x4745或0x4854的包
抓ARP响应包:arp && arp[6:2]==0002
⑤ 用tcpmp 嗅探80端口的访问看看谁最高
答:tcpmp是一个数据监听的工具,该工具有很多参数,根据自身的需求可以对监听的数据进行过滤并输出相应信息(文字信息或者十六进制数据等),接着根据相关的协议对这些数据进行分析并评估相应问题,所以工具是次要的,有一定的基础知识才是关...
⑥ 用wireshark抓包时怎么过滤
过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。
过滤专器有两种,
一种属是显示过滤器,就是主界面上那个,用来在捕获的记录中找到所需要的记录
一种是捕获过滤器,用来过滤捕获的封包,以免捕获太多的记录。 在Capture -> Capture Filters 中设置
保存过滤
在Filter栏上,填好Filter的表达式后,点击Save按钮, 取个名字。比如"Filter 102",
⑦ 如何用tcpmp命令截完整的数据包
tcpmp是一个用于截取网络分组,并输出分组内容的工具。tcpmp凭借强大的功能和灵活的截取策略,使其成为类UNIX系统下用于网络分析和问题排查的首选工具。
⑧ 求tcpmp高手解惑!tcpmp -X -s 0 -i any port 8123 -w ./tcpmp/xdrout.pcap 这条命令的作用
-X的官房说明是:
“分析和打印时,打印的每个数据包的报头,打印十六进制和ASCII的数据,每一个数据包(减去其链路层报头)”
说白了,就是以十六进制打印数据报文,但是不显示以太网祯的报头,只显示IP层的内容。
-s 抓报长度,一般设置为0,即65535字节
-i 就是监听的网络接口,是eth0,eth1 还是什么,any 表示所有的网络接口。
port 8123 就是只监听8123 端口的信息。
-w 就是将记录保存在一个指定的文件中,后面自然就是这个文件的地址了。
大概的意思就是如上。 、
补充一下,可以优化一下:
tcpmp -nxxi any port 8123 -w ./tcpmp/xdrout.pcap
这样抓到的包信息更详细
⑨ linux tcpmp 要捕获完全的一个数据包,不仅仅是包头,包括数据,并且打印出来,参数是怎样的!
增加-s参数制定捕获长度,例如
tcpmp -i eth0 -n -vv -x -e -s 1600
⑩ suse linux下用tcpmp抓包,信息量比较大的时候,设置过滤条件抓不到包,为什么
tcpmp -s 0 -i eth1 host 192.168.1.100 >> ~/e.log | tail -f ~/e.log | grep XXX --color
没有试过,简单的写个类似专楼上的思属路。