我們就針對上圖中所抓的這個包來進行分析。

1.“tcpdump: verbose output suppressed, use -v or -vv for full protocol decode”

這是說你命令沒有用到-v和-vv，如果你用了這兩個選項，輸出就會有更多內(nèi)容。

2.“l(fā)istening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes”

是說監(jiān)聽網(wǎng)卡eth0，類型是以太網(wǎng)EN10MB，抓包大小限制65535字節(jié)。包的大小可通過-s選項修改，盡量不要太大，如果你要追求高性能，建議把這個值調(diào)低，這樣可以有效避免在大流量情況下的丟包現(xiàn)象。

3.“19:48:33.285838 IP 116.255.245.206.47940 > 8.8.8.8.53: 22768+ A? www.baidu.com. (31)”

“19:48:33.285838”，分別對應著這個包被抓到的“時”、“分”、“秒”、“微妙”。

“IP”，表示這個包在網(wǎng)絡層是IP包。

“116.255.245.206.47940”，表示這個包的源IP為116.255.245.206，源端口為47940。

“>”，這個大于號表示數(shù)據(jù)包的傳輸方向。

“8.8.8.8.53“，表示這個包要發(fā)向的目的端IP是8.8.8.8，目標端口為53，也就是我們熟知的DNS服務端口。

“22768+ A? www.baidu.com. (31)“，這是DNS協(xié)議的內(nèi)容，即請求www.baidu.com的A紀錄。

4.0x0000: 4500 003b c341 0000 4011 3c93 74ff f5ce E..;.A..@.<.t...
0x0010: 0808 0808 bb44 0035 0027 b457 58f0 0100 .....D.5.'.WX...
0x0020: 0001 0000 0000 0000 0377 7777 0562 6169 .........www.bai
0x0030: 6475 0363 6f6d 0000 0100 01 ? ? ? ? ? ? du.com.....

接下來便是IP包的內(nèi)容了，是除去了以太網(wǎng)之后剩下的內(nèi)容，其中左側(cè)紅色字體部分是十六進制內(nèi)容，右側(cè)天藍色字體部分是相應的ASCII碼內(nèi)容。

下面轉(zhuǎn)自：http://roclinux.cn/?p=2511

在最后的“終結(jié)招”中，我們會給大家介紹一些之前沒有提到的“小秘籍”，讓大家在追查網(wǎng)絡問題、進行協(xié)議分析時，可以用得上。

[秘籍一]

使用-A選項，則tcpdump只會顯示ASCII形式的數(shù)據(jù)包內(nèi)容，不會再以十六進制形式顯示；

[秘籍二]

使用-XX選項，則tcpdump會從以太網(wǎng)部分就開始顯示網(wǎng)絡包內(nèi)容，而不是僅從網(wǎng)絡層協(xié)議開始顯示。

[秘籍三]

使用如下命令，則tcpdump會列出所有可以選擇的抓包對象。

# tcpdump -D 1.eth0 2.any (Pseudo-device that captures on all interfaces) 3.lo

[秘籍四]

如果想查看哪些ICMP包中“目標不可達、主機不可達”的包，請使用這樣的過濾表達式：

icmp[0:2]==0x0301

[秘籍五]

要提取TCP協(xié)議的SYN、ACK、FIN標識字段，語法是：

tcp[tcpflags] & tcp-syn tcp[tcpflags] & tcp-ack tcp[tcpflags] & tcp-fin

[秘籍六]

要提取TCP協(xié)議里的SYN-ACK數(shù)據(jù)包，不但可以使用上面的方法，也可以直接使用最本質(zhì)的方法：

tcp[13]==18

[秘籍七]

如果要抓取一個區(qū)間內(nèi)的端口，可以使用portrange語法：

tcpdump -i eth0 -nn 'portrange 52-55' -c 1 -XX

原址：http://roclinux.cn/?p=2851

總結(jié)

以上是生活随笔為你收集整理的tcpdump输出内容分析的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。