『神探tcpdump第四招』-linux命令5分シリーズの38
==
本文は「オプションの内容」の最後の説明で、主に-wと-rの2つのオプションを説明します.tcpdumpの選択肢は多くて、50個に達して、その他の私が関連していない選択肢は、やはりみんながman tcpdumpの方式を通じて勉強しなければなりません.本当に研究が分からないので、私に検討してもいいです:)
==
ネットトラフィック分析をしたことがある学生は、「トラフィック保存」と「トラフィック再生」という共通のニーズがあるかもしれません.これは今日説明する-wオプションと-rオプションにぴったりです.
「トラフィック保存」とは、キャプチャしたネットワークパケットをディスクに保存し、保存して後続の使用に使用することです.
「トラフィック再生」とは、履歴上のある時間帯のトラフィックを、トラフィック分析のために再生を再シミュレーションすることである.
【-wオプション】-トラフィックをファイルに保存
?
1
2
3
4
5
上記の例から、-wオプションでフローdataファイルにトラフィックが格納されていることがわかります.皆さんはlessのflowdataに興味がありますか?中に何が入っているか見てみましょうか?
?
1
2
悲劇は、もともとバイナリ形式で、テキストで直接見ることができませんでした.うん、関所を買って、本物をみんなに話しましょう.
tcpdumpの-w方式はraw packets(元のネットワークパケット)を直接ファイルに格納することであり、つまり格納されているのは構造体形式であり、分析後のテキストフォーマットの情報ではないため、lessコマンドで直接表示することはできない.
では、どうやって調べますか?皆さんも考えたと思いますが、-rオプションを使います.
[-rオプション]-raw packetsファイルの読み込み
?
1
2
3
4
5
6
7
8
実は上の命令は知らず知らずのうちに“流量の再生”を行って、あなたはネットのパケットが“捕まえます”のスピードがすべて歴史に従って再生したことを発見することができて、本当に1つの“タイムマシン”のようです!
raw packetsで格納されているので、-e、-l、フィルタ式を完全に使用して出力情報を制御することができ、便利です.
==
予告、第5手から、フィルタリング式が説明されていますので、面白いと思いますので、楽しみにしてください.
ありがとう!
本文は「オプションの内容」の最後の説明で、主に-wと-rの2つのオプションを説明します.tcpdumpの選択肢は多くて、50個に達して、その他の私が関連していない選択肢は、やはりみんながman tcpdumpの方式を通じて勉強しなければなりません.本当に研究が分からないので、私に検討してもいいです:)
==
ネットトラフィック分析をしたことがある学生は、「トラフィック保存」と「トラフィック再生」という共通のニーズがあるかもしれません.これは今日説明する-wオプションと-rオプションにぴったりです.
「トラフィック保存」とは、キャプチャしたネットワークパケットをディスクに保存し、保存して後続の使用に使用することです.
「トラフィック再生」とは、履歴上のある時間帯のトラフィックを、トラフィック分析のために再生を再シミュレーションすることである.
【-wオプション】-トラフィックをファイルに保存
?
1
2
3
4
5
# tcpdump -i eth0 -w flowdata tcpdump: listening on eth0, link- type EN10MB (Ethernet), capture size 65535 bytes ^C327 packets captured 327 packets received by filter 0 packets dropped by kernel 上記の例から、-wオプションでフローdataファイルにトラフィックが格納されていることがわかります.皆さんはlessのflowdataに興味がありますか?中に何が入っているか見てみましょうか?
?
1
2
# less flowdata "flowdata" may be a binary file . See it anyway? 悲劇は、もともとバイナリ形式で、テキストで直接見ることができませんでした.うん、関所を買って、本物をみんなに話しましょう.
tcpdumpの-w方式はraw packets(元のネットワークパケット)を直接ファイルに格納することであり、つまり格納されているのは構造体形式であり、分析後のテキストフォーマットの情報ではないため、lessコマンドで直接表示することはできない.
では、どうやって調べますか?皆さんも考えたと思いますが、-rオプションを使います.
[-rオプション]-raw packetsファイルの読み込み
?
1
2
3
4
5
6
7
8
# tcpdump -r flowdata reading from file flowdata, link- type EN10MB (Ethernet) 16:43:36.202443 IP 116.255.245.206.snapenetio > 61.135.169.73.52414: Flags [P.], seq 4082702792:4082702924, ack 3248983965, win 291, length 132 16:43:36.222033 IP 61.135.169.73.52414 > 116.255.245.206.snapenetio: Flags [.], ack 132, win 61, length 0 16:43:36.277407 IP 116.255.245.62 > ospf-all.mcast.net: OSPFv2, Hello, length 48 16:43:36.370846 ARP, Request who -has 116.255.245.203 tell 116.255.245.254, length 64 16:43:36.521947 ARP, Request who -has 116.255.245.203 tell 116.255.245.253, length 64 16:43:36.635472 ARP, Request who -has 116.255.245.214 tell 116.255.245.253, length 64 実は上の命令は知らず知らずのうちに“流量の再生”を行って、あなたはネットのパケットが“捕まえます”のスピードがすべて歴史に従って再生したことを発見することができて、本当に1つの“タイムマシン”のようです!
raw packetsで格納されているので、-e、-l、フィルタ式を完全に使用して出力情報を制御することができ、便利です.
==
予告、第5手から、フィルタリング式が説明されていますので、面白いと思いますので、楽しみにしてください.
ありがとう!