① tcpmp 協議過濾哪些協議
tcpmp 協議過濾
作為業界標準的捕獲工具,tcpmp提供了強大而又靈活的包過濾功回能。作為tcpmp基礎答的libpcap包捕獲引擎支持標準的包過濾規則,如基於5重包頭的過濾(如基於源/目的IP地址/埠和IP協議類型)。
tcpmp/libpcap的包過濾規則也支持更多通用分組表達式,在這些表達式中,包中的任意位元組范圍都可以使用關系或二進制操作符進行檢查。對於位元組范圍表達,你可以使用以下格式:
proto [ expr : size ]
「proto」可以是熟知的協議之一(如ip,arp,tcp,udp,icmp,ipv6),「expr」表示與指定的協議頭開頭相關的位元組偏移量。有我們熟知的直接偏移量如tcpflags,也有取值常量如tcp-syn,tcp-ack或者tcp-fin。「size」是可選的,表示從位元組偏移量開始檢查的位元組數量。
使用這種格式,你可以像下面這樣過濾TCP SYN,ACK或FIN包。
② 怎麼把tcpmp抓到的數據
/usr/sbin/tcpmp -i eth0 -s 1500 -w dhcp.pcap 'udp
and port 67 and port 68' -i 指定抓包網卡 -s 指定抓包長度,默認只抓包頭 -w
將抓包內容保存下來,然後用wireshark之類的軟體看更方便。如果想要在屏幕滾動查看,忽略這個選項 udp and port 67 and
port 68:dhcp報文的過濾條件,udp協議,埠67和68
③ 怎樣設置tcpmp抓包的緩沖大小值
你好,你可以試試我這個:
sec=300
while [ 1 ]
do
killall tcpmp
mv ip.packet ip.packet.1
tcpmp -w ip.packet -s 0 tcp or udp &
rrd_data=""
traffic=`tcpmp -r ip.packet.1 src 192.168.0.1 and dst 192.168.0.2 -v | sed -e 's/.*, length: \(.*\))/\1/g' | awk -F " " '{print $1}'| sed -e 's/)//g'| tr '\n' '+'`
traffic=`echo ${traffic}0 | bc`
traffic=`expr $traffic / $sec`
rrd_data=$traffic
echo $rrd_data >1.txt
echo $rrd_data >>2.txt
sleep $sec
done
④ 用tcpmp抓包,過濾規則有些看不懂,求高手解答
tcp頭開始偏移20個位元組後的兩個位元組為0x4745或0x4854的包。如果沒有可選項的TCP包,應該是指版TCP發送的數據權數據開頭兩個位元組為0x4745或0x4854的包
抓ARP響應包:arp && arp[6:2]==0002
⑤ 用tcpmp 嗅探80埠的訪問看看誰最高
答:tcpmp是一個數據監聽的工具,該工具有很多參數,根據自身的需求可以對監聽的數據進行過濾並輸出相應信息(文字信息或者十六進制數據等),接著根據相關的協議對這些數據進行分析並評估相應問題,所以工具是次要的,有一定的基礎知識才是關...
⑥ 用wireshark抓包時怎麼過濾
過濾器會幫助我們在大量的數據中迅速找到我們需要的信息。
過濾專器有兩種,
一種屬是顯示過濾器,就是主界面上那個,用來在捕獲的記錄中找到所需要的記錄
一種是捕獲過濾器,用來過濾捕獲的封包,以免捕獲太多的記錄。 在Capture -> Capture Filters 中設置
保存過濾
在Filter欄上,填好Filter的表達式後,點擊Save按鈕, 取個名字。比如"Filter 102",
⑦ 如何用tcpmp命令截完整的數據包
tcpmp是一個用於截取網路分組,並輸出分組內容的工具。tcpmp憑借強大的功能和靈活的截取策略,使其成為類UNIX系統下用於網路分析和問題排查的首選工具。
⑧ 求tcpmp高手解惑!tcpmp -X -s 0 -i any port 8123 -w ./tcpmp/xdrout.pcap 這條命令的作用
-X的官房說明是:
「分析和列印時,列印的每個數據包的報頭,列印十六進制和ASCII的數據,每一個數據包(減去其鏈路層報頭)」
說白了,就是以十六進制列印數據報文,但是不顯示乙太網禎的報頭,只顯示IP層的內容。
-s 抓報長度,一般設置為0,即65535位元組
-i 就是監聽的網路介面,是eth0,eth1 還是什麼,any 表示所有的網路介面。
port 8123 就是只監聽8123 埠的信息。
-w 就是將記錄保存在一個指定的文件中,後面自然就是這個文件的地址了。
大概的意思就是如上。 、
補充一下,可以優化一下:
tcpmp -nxxi any port 8123 -w ./tcpmp/xdrout.pcap
這樣抓到的包信息更詳細
⑨ linux tcpmp 要捕獲完全的一個數據包,不僅僅是包頭,包括數據,並且列印出來,參數是怎樣的!
增加-s參數制定捕獲長度,例如
tcpmp -i eth0 -n -vv -x -e -s 1600
⑩ suse linux下用tcpmp抓包,信息量比較大的時候,設置過濾條件抓不到包,為什麼
tcpmp -s 0 -i eth1 host 192.168.1.100 >> ~/e.log | tail -f ~/e.log | grep XXX --color
沒有試過,簡單的寫個類似專樓上的思屬路。