tcpdump默认是抓什么包?

nfqx

tcpdump -w aa.dump

得到的aa.dump中抓到的是链路层的帧,还是网络层的ip包?或者是传输层的数据报?

stevens_wu

我的理解是,tcpdump抓到的是数据链路层的帧,并对这个帧进行分析,判断该帧是属于ARP/RARP或是IP(还包括IPX等)报文。如果对于tcpdump抓到的数据不满意，比如你想专门针对某种协议做出更详细分析，可能需要使用其他的分析工具，或者是自己编写一个协议分析工具。

zll0827

怎么编写协议分析工具？
楼上的做过吗？提供些资料？
我用winpcap做过一个抓包的程序，不过抓到的内容都是16进制，看不懂，而且用文本保存了打开时是乱码~只能在屏幕上看~

stevens_wu

使用winpcap抓数据包比较方便，可以根据数据包的不同类别来进行分析，但前提是要求熟悉协议的封装格式。比如说从数据链路层（以太网环境）抓的数据包是使用以太网协议，6字节目标硬件地址，6字节源硬件地址，2字节协议类型（如果是802.3封装就是长度字段），根据每一层的协议格式来脱掉外面的包装。建议楼主可以看看TCP/IP详解（卷二），还可以把tcpdump的源代码拿来读一读。前一阵子刚好写了一个简单的协议分析程序，原本打算用libpcap来写的，但是由于程序涉及到写数据链路层数据，而libpcap不提供写功能，所以后来就用了DLPI驱动。本人也是菜鸟一个，有空我们可以研究一下。我的e-mail是:teawater@vip.163.com

nfqx

用tcpdump -c 2 -w aa.dump抓了两个包,但是按照802.3协议去解读好像对不上好,而且两个包如何分割?有什么分割标志?

0000000: d4c3 b2a1 0200 0400 0000 0000 0000 0000  
0000010: 6000 0000 0100 0000 cf68 d042 3589 0900  
0000020: 3c00 0000 3c00 0000 000c 290a 4675 0040  
0000030: 0514 d422 0800 4500 0028 d923 4000 8006
0000040: aabf 0a11 3166 0a11 3165 0713 0017 5f95
0000050: bdb9 728d 5afa 5010 ff6e 4778 0000 0000  
0000060: 0000 0000 cf68 d042 7289 0900 5200 0000  
0000070: 5200 0000 0040 0514 d422 000c 290a 4675  
0000080: 0800 4510 0044 01a2 4000 4006 c215 0a11  
0000090: 3165 0a11 3166 0017 0713 728d 5afa 5f95  
00000a0: bdb9 5018 16d0 212f 0000 7463 7064 756d  
00000b0: 703a 206c 6973 7465 6e69 6e67 206f 6e20  
00000c0: 6574 6830 0d0a

stevens_wu

你的数据看起来并不符合802.3标准和以太网标准，由于我也不知道tcpdump的实现，并不清楚这些数据代表什么含义