Tcpdump ist ein Befehlszeilen-Netzwerk-Sniffer, der verwendet wird, um Netzwerkpakete zu erfassen. Wenn Sie nur Kommandozeilen-Terminal Zugriff auf Ihr System haben, ist dieses Tool sehr hilfreich, um Netzwerk-Pakete zu snippen. Es hat so viele Möglichkeiten: Sie können das Paket-Dump in Ihrem Terminal sehen können, können Sie auch eine pcap-Datei erstellen (die Erfassung in wireshark zu sehen), können Sie Filter erstellen, nur erforderlich, Pakete wie ftp oder ssh usw. zu erfassen können Sie direkt Siehe die Erfassung eines Remote-Systems in einem anderen Linux-System mit wireshark, für weitere Details klicken 8220 Remote-Paket-Capture mit WireShark und tcpdump8221. So viele andere Optionen zur Verfügung, siehe tcpdump man-Seite. Tcpdump man page Wenn Sie eine pcap-Datei mit tcpdump erstellen, wird es Ihre Aufzeichnungsdatei verkürzen, um es zu verkürzen und Sie können das nicht verstehen. Ich schreibe diesen Beitrag, so dass Sie eine pcap-Datei effektiv erstellen können. Sie können den folgenden Befehl verwenden, um den Dump in einer Datei zu erfassen: In oberhalb des Befehls - s 0 setzt das Capture-Byte auf sein Maximum, d. H. 65535, nachdem diese Capture-Datei nicht abgeschnitten wird. - i eth0 verwendet, um Ethernet-Schnittstelle, die Sie zu erfassen. Standardmäßig ist eth0, wenn Sie diese Option nicht verwenden. Port ftp oder ssh ist der Filter, der nur ftp - und ssh-Pakete erfasst. Sie können diese entfernen, um alle Pakete zu erfassen. - w mypcap. pcap erzeugt die pcap-Datei, die mit wireshark geöffnet wird. Jetzt denke ich, können Sie mit dem Befehl nach Ihren need. text2pcap spielen - Generieren Sie eine Capture-Datei aus einer ASCII-hexdump von Paketen text2pcap - a - d - D - e ltl3pidgt - h - i ltprotogt - l lttypenumgt - n - m ltmax - packetgt - o hexoctdec - q - s ltsrcportgt, ltdestportgt, lttaggt - S ltsrcportgt, ltdestportgt, ltppigt - t lttimefmtgt - T ltsrcportgt, ltdestportgt - u ltsrcportgt, ltdestportgt - v lt infile GT - lt outfile GT - BESCHREIBUNG Text2pcap ist ein Programm, Liest in einem ASCII-Hex-Dump und schreibt die Daten in eine pcap Capture-Datei beschrieben. Text2pcap kann hexdumps mit mehreren Paketen in ihnen lesen und eine Aufzeichnungsdatei von mehreren Paketen erstellen. Text2pcap ist auch in der Lage, Dummy-Ethernet-, IP - und UDP-, TCP - oder SCTP-Header zu erzeugen, um vollständig verarbeitbare Paketdumps nur aus Hex-Dumps von Daten auf Anwendungsebene zu erstellen. Text2pcap versteht einen Hex-Dump der von od - Ax - tx1 - v erzeugten Form. Mit anderen Worten, jedes Byte wird einzeln angezeigt, wobei Räume die Bytes voneinander trennen. Jede Zeile beginnt mit einem Offset, der die Position in der Datei beschreibt, wobei ein Leerzeichen sie von den folgenden Bytes trennt. Der Offset ist eine Hexadezimalzahl (kann auch oktal oder dezimal sein - siehe - o), von mehr als zwei Hex-Ziffern. Hier ist ein Beispiel-Dump, dass text2pcap erkennen kann: Es gibt keine Begrenzung für die Breite oder Anzahl der Bytes pro Zeile. Auch der Textabzug am Zeilenende wird ignoriert. Bytes / Hex-Zahlen können Groß - oder Kleinbuchstaben sein. Jeder Text vor dem Offset wird ignoriert, einschließlich der E-Mail-Weiterleitungszeichen 39gt39. Alle Textzeilen zwischen den Bytestringzeilen werden ignoriert. Die Offsets werden verwendet, um die Bytes zu verfolgen, so dass Offsets korrekt sein müssen. Jede Zeile, die nur Byte ohne führenden Offset hat, wird ignoriert. Ein Offset wird als eine Hexadezimalzahl erkannt, die länger als zwei Zeichen ist. Jeder Text nach den Bytes wird ignoriert (z. B. der Zeichendump). Alle Hex-Nummern in diesem Text werden ebenfalls ignoriert. Ein Offset von Null ist ein Anzeichen für das Starten eines neuen Pakets, so dass eine einzelne Textdatei mit einer Reihe von Hex-Dumps in eine Paket-Erfassung mit mehreren Paketen umgewandelt werden kann. Pakete können mit einem Zeitstempel versehen werden. Diese werden entsprechend dem in der Befehlszeile angegebenen Format interpretiert (siehe - t). Wenn nicht, wird das erste Paket mit dem aktuellen Zeitpunkt der Umwandlung zeitlich abgestimmt. Mehrere Pakete werden mit Zeitstempeln geschrieben, die sich um jeweils eine Mikrosekunde unterscheiden. In der Regel kurz dieser Einschränkungen ist text2pcap ziemlich liberal etwa in Hexdumps zu lesen und hat mit einer Vielzahl von verstümmelten Ausgaben (einschließlich der zu weitergeleitet per E-Mail mehrere Male, mit begrenzten Linie wickeln etc.) Es gibt ein paar andere Features getestet notieren. Jede Zeile, in der das erste Nicht-Whitespace-Zeichen 3939 ist, wird als Kommentar ignoriert. Jede Zeile, die mit TEXT2PCAP beginnt, ist eine Anweisung und Optionen können eingefügt werden, nachdem dieser Befehl von text2pcap verarbeitet wird. Derzeit gibt es keine Richtlinien, die in der Zukunft umgesetzt werden, können diese verwendet werden, um eine feinkörnigere Kontrolle über die Deponie und die Art, wie sie verarbeitet werden soll, z. B. Zeitstempel, Verkapselung usw. Text2pcap ermöglicht es dem Benutzer auch, in Dumps von Daten auf Anwendungsebene zu lesen, indem Dummy-L2-, L3- und L4-Header vor jedem Paket eingefügt werden. Der Anwender kann vor jedem Paket Ethernet-Header, Ethernet - und IP - oder Ethernet-, IP - und UDP / TCP / SCTP-Header einfügen. Dies ermöglicht Wireshark oder jedem anderen Full-Packet-Decoder, um diese Dumps zu behandeln. Aktiviert die ASCII-Text-Dump-Identifikation. Es erlaubt, den Anfang des ASCII-Textdumps zu identifizieren und ihn nicht in das Paket einzuschließen, selbst wenn es wie HEX aussieht. HINWEIS: Aktivieren Sie es nicht, wenn die Eingabedatei den ASCII-Text-Dump nicht enthält. Zeigt während des Prozesses Debuginformationen an. Kann mehrfach verwendet werden, um mehr Debugging-Informationen zu generieren. Der Text vor dem Paket beginnt entweder mit einem I oder O, das anzeigt, dass das Paket eingehend oder ausgehend ist. Dies wird nur gespeichert, wenn das Ausgabeformat PCAP-NG ist. Fügen Sie vor jedem Paket einen Dummy-Ethernet-Header ein. Geben Sie den L3PID für den Ethernet-Header in Hex an. Verwenden Sie diese Option, wenn Ihr Dump Layer 3 Header und Payload (z. B. IP-Header), aber keine Layer 2 Kapselung hat. Beispiel: - e 0x806, um ein ARP-Paket anzugeben. Für IP-Pakete können Sie statt der Erzeugung eines gefälschten Ethernet-Headers auch - l 101 verwenden, um ein rohes IP-Paket an Wireshark anzuzeigen. Beachten Sie, dass - l 101 nicht für alle Nicht-IP-Layer 3-Pakete (z. B. ARP) funktioniert, während die Erzeugung eines Dummy-Ethernet-Headers mit - e für jede Art von L3-Paket funktioniert. Zeigt eine Hilfemeldung an. Fügen Sie vor jedem Paket dummy IP-Header ein. Geben Sie das IP-Protokoll für das Paket in Dezimalzahl an. Verwenden Sie diese Option, wenn Ihr Dump die Nutzlast eines IP-Pakets ist (d. h. vollständige L4-Information hat), aber keinen IP-Header mit jedem Paket hat. Beachten Sie, dass ein entsprechender Ethernet-Header automatisch mit jedem Paket auch enthalten ist. Beispiel: - i 46, um ein RSVP-Paket anzugeben (IP-Protokoll 46). Siehe iana. org/assignments/protocol-numbers/protocol-numbers. xhtml für die vollständige Liste der zugewiesenen Internetprotokollnummern. Legen Sie den Link-Layer-Header-Typ dieses Pakets fest. Voreinstellung ist Ethernet (1). Siehe tcpdump. org/linktypes. html für die vollständige Liste der möglichen Kapselungen. Beachten Sie, dass diese Option verwendet werden sollte, wenn Ihr Dump ein vollständiger Hex-Dump eines gekapselten Pakets ist und Sie die genaue Art der Verkapselung angeben möchten. Beispiel: - l 7 für ARCNet-Pakete gekapselt BSD-Stil. Legen Sie die maximale Paketlänge fest, Standardwert 65535. Nützlich für das Testen verschiedener Paketgrenzen, wenn nur ein Anwendungsdatenstrom verfügbar ist. Beispiel: od - Ax - tx1 - v stream text2pcap - m1460 - T1234,1234 - stream. pcap konvertiert vom normalen Datenstrom-Format in eine Folge von Ethernet-TCP-Paketen. Schreiben Sie PCAP-NG-Datei anstelle eines PCAP. Geben Sie den Radix für die Offsets an (hex, octal oder dezimal). Defaults zu hex. Dies entspricht der Option - A für od. Seien Sie während des Prozesses völlig ruhig. Fügen Sie vor jedem Paket Dummy-SCTP-Header ein. Geben Sie in der Dezimalstelle die Quell - und Ziel-SCTP-Ports und das Verification-Tag für das Paket an. Verwenden Sie diese Option, wenn Ihr Dump die SCTP-Payload eines Pakets ist, jedoch keine SCTP-, IP - oder Ethernet-Header enthält. Beachten Sie, dass entsprechende Ethernet - und IP-Header automatisch in jedem Paket enthalten sind. Eine CRC32C-Prüfsumme wird in den SCTP-Header gesetzt. Fügen Sie vor jedem Paket Dummy-SCTP-Header ein. Geben Sie in der Dezimalstelle die Quell - und Ziel-SCTP-Ports und ein Verifizierungs-Tag von 0 für das Paket an und führen Sie einen Dummy-SCTP-DATA-Chunk-Header mit einer Payload-Protokollkennung vor, wenn ppi. Verwenden Sie diese Option, wenn Ihr Dump die SCTP-Payload eines Pakets ist, jedoch keine SCTP-, IP - oder Ethernet-Header enthält. Beachten Sie, dass entsprechende Ethernet - und IP-Header automatisch in jedem Paket enthalten sind. Eine CRC32C-Prüfsumme wird in den SCTP-Header gesetzt. Behandelt den Text vor dem Paket als Datums - / Zeitcode timefmt ist ein Formatstring der von strptime (3) unterstützten Sortierung. Beispiel: Der Zeitcode 10: 15: 14.5476quot hat den Formatcode H: M: S. quot HINWEIS: Das Subsekundenkomponentenbegrenzer muss angegeben werden (.), Aber es ist kein Muster erforderlich, die verbleibende Zahl wird als Bruchteile einer Sekunde angenommen. HINWEIS: Datum / Uhrzeit-Felder aus dem aktuellen Datum / Uhrzeit werden als Standard für nicht spezifizierte Felder verwendet. Fügen Sie vor jedem Paket Dummy-TCP-Header ein. Geben Sie die Quell - und Ziel-TCP-Ports für das Paket in Dezimalzahl an. Verwenden Sie diese Option, wenn Ihr Dump die TCP-Payload eines Pakets ist, aber keine TCP-, IP - oder Ethernet-Header enthält. Beachten Sie, dass entsprechende Ethernet - und IP-Header automatisch in jedem Paket enthalten sind. Sequenznummern beginnen bei 0. Fügen Sie Dummy-UDP-Header vor jedem Paket ein. Geben Sie die Quell - und Ziel-UDP-Ports für das Paket in Dezimalzahl an. Verwenden Sie diese Option, wenn Ihr Dump die UDP-Payload eines Pakets ist, aber keine UDP-, IP - oder Ethernet-Header enthält. Beachten Sie, dass entsprechende Ethernet - und IP-Header automatisch in jedem Paket enthalten sind. Beispiel: - u1000,69, um die Pakete wie TFTP / UDP-Pakete aussehen zu lassen. Die Version drucken und beenden. Prepend dummy IP-Header mit angegebenen IPv4-Dest und Source-Adresse. Diese Option sollte von einer der folgenden Optionen begleitet werden: - i, - s, - S, - T, - u Verwenden Sie diese Option, um anwendungsbezogene IP-Adressen anzuwenden. Beispiel: -4 10.0.0.1,10.0.0.2 für die Verwendung von 10.0.0.1 und 10.0.0.2 für alle IP-Pakete. Prepend dummy IP-Header mit angegebenen IPv6-Dest und Source-Adresse. Diese Option sollte von einer der folgenden Optionen begleitet werden: - i, - s, - S, - T, - u Verwenden Sie diese Option, um anwendungsbezogene IP-Adressen anzuwenden. Beispiel: -6 fe80: 0: 0: 0: 202: b3ff: fe1e: 8329, 2001: 0db8: 85a3: 0000: 0000: 8a2e: 0370: 7334 Verwendung von fe80: 0: 0: 0: 202: b3ff: fe1e : 8329 und 2001: 0db8: 85a3: 0000: 0000: 8a2e: 0370: 7334 für alle IP-Pakete. (1), strupime (3), pcap-filter (7) oder tcpdump (8), (1), papap (3), wireshark (1), tshark (1), dumpcap (1) ) Text2pcap ist Teil der Wireshark-Distribution. Die neueste Version von Wireshark finden Sie auf wireshark. org.
No comments:
Post a Comment