抓包工具和抓包分析.docx

抓包工具和抓包分析
1概述
在处理IP网络的故障时，经常使用以太网抓包工具来查看和抓取IP网络上某些 端口或某些网段的数据包，并对这些数据包进行分析，定位问题。
在IMON项目里，使用抓包工具抓包进行分析的场景在EPG采集、 or src net ) and tcp dst portrange 200-10000 and dst net 〃,目的地TCP端口号在200 至10000之间，。
src net
src net mask ・0 〃捕捉源地址为 网络内的所有封包。
显示过滤器
语法：
Protocol
Strin g 1
String 2
Comparison operator
Value
Logical Operations
Other expreBS-ion
例子：
ftp
passive
ip
==

xor

例子：
snmp II dns II icmp 〃显示 SNMP 或 DNS 或 ICMP 封包。
ip・addr == ・1・1 〃。
!= or != //显示来源不为 或者目的不为 的封包。 换句话说，显示的封包将会为：
来源IP：除了 ；目的IP：任意
以及
来源IP：任意；目的IP：除了
ip・src != and != 〃显示来源不为 并且目的 IP 不为 的 封包。
换句话说，显示的封包将会为：
来源IP：除了 ；同时须满足，目的IP：除了 == 25 〃显示来源或目的TCP端口号为25的封包。
tcp・dstport == 25 〃显示目的TCP端口号为25的封包。
〃显示包含TCP标志的封包。
== 0X 02 〃显示包含TCP SYN标志的封包。
如果过滤器的语法是正确的，表达式的背景呈绿色。如果呈红色，说明表达式有误。
2・ 2TCPDUMP
tcpdump是一个运行在命令行下的嗅探工具。它允许用户拦截和显示发送或收到过网络连' 接到该计算机的TCP/IP和其他数据包。
tcpdump采用命令行方式，它的命令格式为：
tcpdump [ -adeflnNOpqStvx ] [ -c 数量][-F 文件名]
[-i 网络接口 ] [ -r 文件名][-s snaplen ] [-T类型][-w文件名][表达式]
1. tcpdump的选项介绍
-a 将网络地址和广播地址转变成名字；
-d 将匹配信息包的代码以