Chinaunix

标题: 如何读懂tcpdump输出？ [打印本页]

作者: yufeiluo 时间: 2015-08-23 11:29
标题: 如何读懂tcpdump输出？
tcpdump host 192.168.1.100
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
11:20:52.789742 IP localhost.37902 > d.root-servers.net.domain: 42429% [1au] DNSKEY? . (2

11:20:52.789865 IP localhost.41693 > d.root-servers.net.domain: 18942% [1au] NS? . (2

11:20:52.970349 IP d.root-servers.net.domain > localhost.37902: 42429*- 3/0/1 DNSKEY, DNSKEY, RRSIG (736)
11:20:52.977970 IP d.root-servers.net.domain > localhost.41693: 18942*- 14/0/25 NS h.root-servers.net., NS c.root-servers.net., NS f.root-servers.net., NS g.root-servers.net., NS m.root-servers.net., NS e.root-servers.net., NS k.root-servers.net., NS a.root-servers.net., NS j.root-servers.net., NS l.root-servers.net., NS d.root-servers.net., NS i.root-servers.net., NS b.root-servers.net., RRSIG (913)
11:20:53.262676 IP localhost.11242 > b.root-servers.net.domain: 20749% [1au] DNSKEY? . (2

11:20:53.262749 IP localhost.58491 > b.root-servers.net.domain: 57315% [1au] NS? . (2

11:20:53.670548 IP localhost.53771 > public1.alidns.com.domain: 23778+ PTR? 13.91.7.199.in-addr.arpa. (42)

请问：
如何理解d.root-servers.net.domain？
如何理解public1.alidns.com.domain？

ping public1.alidns.com
ping: unknown host public1.alidns.com

作者: MMMIX 时间: 2015-08-23 15:31
回复 1# yufeiluo

要读懂 tcpdump 的输出，你得去学习TCP/IP协议簇的细节。

作者: lifayi2008 时间: 2015-08-24 21:11
加个-w test.pcap把捕获的数据包放在一个文件里，然后用wireshark看比较直观

作者: baby_神 时间: 2015-08-28 17:30
tcpdump -nn -i eth0
可以参考这个
www。babyshen。com/ITjishu/linux/23.html

作者: baby_神 时间: 2015-08-28 17:31
我也是醉了，没有权限发url链接

作者: Shell_HAT 时间: 2015-08-28 17:58
回复 5# baby_神

勾选“禁用链接识别”也不行吗

作者: hjfeng1988 时间: 2015-08-28 18:01
http://192.168.1.1/index.html
发贴测试

作者: baby_神 时间: 2015-08-28 21:50
不行、。。。。。。

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)