Ⅰ suse linux下用tcpmp抓包,信息量比较大的时候,设置过滤条件抓不到包,为什么
tcpmp -s 0 -i eth1 host 192.168.1.100 >> ~/e.log | tail -f ~/e.log | grep XXX --color
没有试过,简单的写个类似专楼上的思属路。
Ⅱ 用tcpmp抓包,过滤规则有些看不懂,求高手解答
tcp头开始偏移20个字节后的两个字节为0x4745或0x4854的包。如果没有可选项的TCP包,应该是指版TCP发送的数据权数据开头两个字节为0x4745或0x4854的包
抓ARP响应包:arp && arp[6:2]==0002
Ⅲ 询问一个TCPDUMP语法问题 在抓TCP包时不能指定IP吗
可以指定IP,筛选条件可以给你参考下:
tcpmp :
-i: 后跟网卡名;
host:后跟主机IP;
-a —— 将网络地址和广播地址转变成名字;
-c —— 指定抓取的数据包数量;
-n:不把主机IP转为主机名;
-r:指定从某个文件中读取数据包;
-e:指定将监听到的数据包链路层的信息打印出来,包括源mac和目的mac,以及网络层的协议;
-nn:不把ip、协议、端口等转为名字;
-T —— 将监听到的包直接解释为指定的类型的报文,常见的类型有rpc (远程过程调用)和snmp(简单网络管理协议);
-w —— 直接将包写入文件中,并不分析和打印出来;
and:条件筛选,包含两个地址;
or:条件筛选,两个之中的一个;
src:后跟起始地址;
dst:后跟目的地址;
tcpmp的表达式
表达式是一个正则表达式,tcpmp利用它作为过滤报文的条件,如果一个报文满足表达式的条件,则这个报文将会被捕获。如果没有给出任何条件,则网络上所有的信息包将会被截获。在表达式中一般如下几种类型的关键字。
第一种是关于类型的关键字,主要包括host,net,port, 例如 host 210.27.48.2,指明 210.27.48.2是一台主机,net 202.0.0.0 指明 202.0.0.0是一个网络地址,port 23 指明端口号是23。如果没有指定类型,缺省的类型是host.
第二种是确定传输方向的关键字,主要包括src , dst ,dst or src, dst and src ,这些关键字指明了传输的方向。举例说明,src 210.27.48.2 ,指明ip包中源地址是210.27.48.2 , dst net 202.0.0.0 指明目的网络地址是202.0.0.0 。如果没有指明方向关键字,则缺省是src or dst关键字。
第三种是协议的关键字,主要包括fddi,ip,arp,rarp,tcp,udp等类型。Fddi指明是在FDDI(分布式光纤数据接口网络)上的特定的网络协议,实际上它是”ether”的别名,fddi和ether具有类似的源地址和目的地址,所以可以将fddi协议包当作ether的包进行处理和分析。其他的几个关键字就是指明了监听的包的协议内容。如果没有指定任何协议,则tcpmp将会监听所有协议的信息包。
除了这三种类型的关键字之外,其他重要的关键字如下:gateway, broadcast,less,greater,还有三种逻辑运算,取非运算是 ‘not ‘ ‘! ‘, 与运算是’and’,'&&’;或运算 是’or’ ,’││’;这些关键字可以组合起来构成强大的组合条件来满足人们的需要,下面举几个例子来说明。
A)想要截获所有210.27.48.1 的主机收到的和发出的所有的数据包:
tcpmp host 210.27.48.1
B)想要截获主机210.27.48.1 和主机210.27.48.2 或210.27.48.3的通信,使用命令:(在命令行中使用 括号时,一定要转义)
tcpmp host 210.27.48.1 and (210.27.48.2 or 210.27.48.3 )
C)如果想要获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包,使用命令:
tcpmp ip host 210.27.48.1 and ! 210.27.48.2
D)如果想要获取主机210.27.48.1接收或发出的telnet包,使用如下命令:
tcpmp tcp port 23 and host 210.27.48.1
E 对本机的udp 123 端口进行监视 123 为ntp的服务端口
# tcpmp udp port 123
F 系统将只对名为hostname的主机的通信数据包进行监视。主机名可以是本地主机,也可以是网络上的任何一台计算机。下面的命令可以读取主机hostname发送的所有数据:
#tcpmp -i eth0 src host hostname
G 下面的命令可以监视所有送到主机hostname的数据包:
#tcpmp -i eth0 dst host hostname
H 我们还可以监视通过指定网关的数据包:
#tcpmp -i eth0 gateway #Gatewayname#
I 如果你还想监视编址到指定端口的TCP或UDP数据包,那么执行以下命令:
#tcpmp -i eth0 host hostname and port 80
J 如果想要获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包,使用命令:
#tcpmp ip host 210.27.48.1 and ! 210.27.48.2
K 想要截获主机210.27.48.1 和主机210.27.48.2 或210.27.48.3的通信,使用命令:(在命令行中适用括号时,一定要加/
#tcpmp host 210.27.48.1 and \(210.27.48.2 or 210.27.48.3\)
L 如果想要获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包,使用命令:
#tcpmp ip host 210.27.48.1 and ! 210.27.48.2
M 如果想要获取主机210.27.48.1接收或发出的telnet包,使用如下命令:
#tcpmp tcp port 23 host 210.27.48.1
Ⅳ 如何用tcpmp抓取sip信令
1、开源的sip服务器端,比较好用的是Asterisk,标准C程序实现,代码清晰。
2、sip的client相对比较多,主要有exosip,pjsip和opal。exosip简单易用,在PC上用比较方便。但是涉及的相关资源太多,用了osip,srtp,ms2等众多的开源库,ms2下面还用到了ffmpeg,别的不说,光编译就是噩梦。opal功能最强,虽然也用到了ffmpeg ,但是自己封装的非常好,采用插件方式,调用灵活。opal采用class方式提供封装,接口非常友好。感觉唯一不爽的地方,就是低层使用了ptlib,虽然多平台下都很好用,但放在嵌入式下感觉稍庞大了一些。pjsip精巧,方便移植,嵌入式下应该是首选。不过视频频支持方面扩展起来比opal麻烦。个人感觉,对于windows开发者来说,pjsip最大的好处就是代码调试方便。整个工程一次编译通过,另外两个库还要找很多相关的资源
。
3、其他的一些协议栈也调试过,比如reSipphone,好象是这个名字,还有Yate,不过从快速开发角度看,都不太合适。现在搞sip开发的,一开始就是先找好协议栈。linphone,ekiga什么的,但庞大。对于刚开始做的,最好是一个精简的demo。后来找到pjsip下面的几个例子,慢慢地了解了sip的工作流程,当然少不了抓包工具和tcpmp。
不过,其实,sip没有想象中的那么麻烦。现在回头看,刚开始做项目,使用协议栈绝对不是好想法。如果换个方向,先熟悉SIP基本协议,然后自己改造一个,或完全写一个,可能效果更好。
Ⅳ tcpmp可以过滤报文长度吗即:只抓取报文长度为512字节的报文
报头中有两个表示长度的域 ,一个为报头长度,一个为总长度。报头长度 以32bit为单位,指出该报头的长度。在没有专 选项和填充的情况下,该值为“5”。总长度以属8 bit为单位,指示整个IP数据报的长度,其中包 括头部长度和数据区长度。
(160+512)÷8=84
Ⅵ tcpmp怎么抓dhcp的包
/usr/sbin/tcpmp -i eth0 -s 1500 -w dhcp.pcap 'udp and port 67 and port 68'
-i 指定抓包网卡
-s 指定抓包长度,默认只抓包头
-w 将抓包内容保存下来,然后用wireshark之类的软件看更方便。如果想要在屏幕滚动查看,忽略这个选项
udp and port 67 and port 68:dhcp报文的过滤条件,udp协议,端口67和68
Ⅶ tcpmp怎么过滤mac地址
可以指定IP,筛选条抄件可以给你参考下: tcpmp : -i: 后跟网卡名; host:后跟主机IP; -a —— 将网络地址和广播地址转变成名字; -c —— 指定抓取的数据包数量; -n:不把主机IP转为主机名; -r:指定从某个文件中读取数据包; -e:指定将监听...
Ⅷ windows下有什么利用命令过滤报文的方法吗,就像Linux的tcpmp那种
Windows命令行没有Linux那么使用,建议您还是用软件吧。wireshark应该能满足您的需要
Ⅸ tcpmp 协议过滤哪些协议
tcpmp 协议过滤
作为业界标准的捕获工具,tcpmp提供了强大而又灵活的包过滤功回能。作为tcpmp基础答的libpcap包捕获引擎支持标准的包过滤规则,如基于5重包头的过滤(如基于源/目的IP地址/端口和IP协议类型)。
tcpmp/libpcap的包过滤规则也支持更多通用分组表达式,在这些表达式中,包中的任意字节范围都可以使用关系或二进制操作符进行检查。对于字节范围表达,你可以使用以下格式:
proto [ expr : size ]
“proto”可以是熟知的协议之一(如ip,arp,tcp,udp,icmp,ipv6),“expr”表示与指定的协议头开头相关的字节偏移量。有我们熟知的直接偏移量如tcpflags,也有取值常量如tcp-syn,tcp-ack或者tcp-fin。“size”是可选的,表示从字节偏移量开始检查的字节数量。
使用这种格式,你可以像下面这样过滤TCP SYN,ACK或FIN包。