超级详细Tcpdump 的用法(原创)

zenith518

如果是HTTP协议，那么查看数据包的方法就很多了，
1. 首先可以用tcpdump -Xls 0 ,(注意X 是upcase) 来同时看ASCII和HexDump，这个和solaris的snoop的命令行可以达到类似的效果。可以避免数据包当来当去的麻烦！
2. 还可以使用自己编写的Proxy(市面上有很多OpenSource的冬冬，稍做修改就可以用了，应尽量找跨平台的冬冬为好)，挡在真正的服务器前面，在做转发的同时，截获客户端和服务器之间的对话。并同时按正确的charset(从HTTP头上应该可以获取到正确的charset的定义)打出请求和回应数据的Log，就可以了。

lazy_bug

太经典的贴只.大开眼界,要好好学习!!研究.

jeffyan

原帖由 zenith518 于 2005-12-26 12:41 发表
现在的抓包工具，都不能正确显示汉字，而在实际工作中，也可以通过其他方法弥补，这个不足。如果真需要这么做，那就需要自己解包了。如果想查看HTTP协议中的东西，在客户端IE中装一个HTTP协议查看工具插件就可以了 ...

好像没有抓包和分析工具能正确显示汉字的
如果要测试 就只要用英文来测。

jeffyan

ethereal 能支持很多应用层的协议，好像网站上说有一千多种，这样我们就不担心了，ethereal会自动识别的。
大家还可以分析msn messenger和qq的传输协议，呵呵，我就是看中了他能自动判断应用层的协议

welcome008

不知道楼主同意不同意我把这个帖子放在俺的blog里，怕以后找不到了。

jeffyan

原帖由 welcome008 于 2005-12-27 11:45 发表
不知道楼主同意不同意我把这个帖子放在俺的blog里，怕以后找不到了。

知识是共享的，科技才能发展

可观

好呀，学习一下！

bulletming

抱着试试看的想法！我发现通过tcpdump加上-X的参数之后，直接倒成一个ascii的文件，然后你选择适合的工具来查看该文件就可以了。这样子的话，看汉字就没有问题了，直接按汉字搜索就可以了。
记事本看gb2312是没有问题的，当然ULTRAEDIT看LINUX上那些回车符就更加的方便。
不知大家是否同意我的观点！？
再次感谢ZENITH518！其实这个工作通过PERL可以很随意的较完美的来做！只是偷懒，想尽量的简单！
我需要再看看TCPDUMP的帮助，里边讲得很不错！另外，明天再看能否截获到MSN出去的字符，如果客户端加了密，就什么都不行了。

jeffyan

原帖由 bulletming 于 2005-12-28 02:15 发表
抱着试试看的想法！我发现通过tcpdump加上-X的参数之后，直接倒成一个ascii的文件，然后你选择适合的工具来查看该文件就可以了。这样子的话，看汉字就没有问题了，直接按汉字搜索就可以了。
记事本看gb2312是没有 ...

这种想法很不错  要支持

jianghao0726

好东西,收藏