tcpdump's problem [复制链接]

论坛徽章:: 0

21楼 [报告]

发表于 2006-06-01 10:10 |只看该作者

你的意思是这些异常的广播包被系统drop了，我明白了
但是，何谓正确的抓包方法？与目标主机端口做镜像还是什么别的？什么又是正确的答案？呵呵，我的意思是，既然我已经知道广播包里面有异常的数据包，那我如果用正常的办法的话那些被系统drop掉正是我需要的，就像你不用root登陆就没法用tcpdump一样，因为不会开打网卡的混杂模式，网卡就会自动的把所有的与本机mac无关的数据包drop一样。
怎样才可以看到那些被系统DROP掉的数据包？这么强的tcpdump不应该是这样的吧我觉得

多谢

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

ippen

丰衣足食

论坛徽章:: 0

22楼 [报告]

发表于 2006-06-01 10:57 |只看该作者

在交换机环境里最好做端口影射，然后再抓包，用tcpdump，还要考虑libcap的抓包效率的问题，以及考虑系统对错误包的处理方式的问题，所以tcpdump抓不到数据，而用win+Eatheral 能抓到的话，就不要一定要求用tcpdump抓，另外可以试试tethereal，ethereal for linux 的字符版本的抓包程序

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

fang007

白手起家

论坛徽章:: 0

23楼 [报告]

发表于 2006-06-02 11:16 |只看该作者

tcpdump problem

linux的下的tcpdump运行与hp－ux下的使用方式有点不一样。（列几条简单的命令）

还有不明白，再问我，请将问题描述清楚。

一、hp－unix下tcpdump的使用
监控23端口
tcpdump -i lan1 tcp port 23
tcpdump -v -i lan1 tcp port 23
将文件重定向
tcpdump -i lan1 -l >1.txt

tcpdump -A -s 0 -i lan1 -v tcp port 23

tcpdump -A -s 0 -v -l >dat src host 134.132.7.36

二、Linux下Tcpdump的使用

1. 查看要所有监控的网卡
＃ifconfig –a
判断所要监听的网卡。
在使用tcpdump的时候，需要通过设定－i，指定想要监听的网卡。
2.tcpdump命令的使用
A想要截获所有200.200.100.55 的主机收到的和发出的所有的数据包：
#tcpdump host 200.200.100.55

＃tcpdump -i eth0 host 200.200.100.233 and 200.200.100.55 (截获20
# tcpdump host 210.27.48.1 and port 23
E 对本机的udp 123 端口进行监视 123 为ntp的服务端口
# tcpdump udp port 123
#tcpdump -i eth0 src host hostname
如：＃tcpdump -i eth0 src host 200.200.100.55

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

b2linux

稍有积蓄

论坛徽章:: 0

24楼 [报告]

发表于 2006-06-04 10:05 |只看该作者

回复 3楼 Chewbaaca 的帖子

tcpdump -nni eth0
#加n 试试,解析问题!

另外中断后
120 packets captured
120 packets received by filter
0 packets dropped by kernel
看看这些数值是否正常

[ 本帖最后由 b2linux 于 2006-6-4 10:07 编辑 ]

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

springwind426

小富即安

论坛徽章:: 0

25楼 [报告]

发表于 2006-06-05 09:42 |只看该作者

你的系统中是否有防火墙，如果有的话，将防火墙关闭看看

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

acmilanwin

白手起家

论坛徽章:: 0

26楼 [报告]

发表于 2006-06-05 15:50 |只看该作者

在Linux下用ethreal能抓到需要的包吗?

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

ippen

丰衣足食

论坛徽章:: 0

27楼 [报告]

发表于 2006-06-05 16:01 |只看该作者

原帖由 acmilanwin 于 2006-6-5 15:50 发表
在Linux下用ethreal能抓到需要的包吗?

不能么？

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

springwind426

小富即安

论坛徽章:: 0

28楼 [报告]

发表于 2006-06-05 20:00 |只看该作者

ethereal可以指定抓包参数，参数设置与tcpdump差不多。

图形界面下还可以指定只查看某种类型的数据包。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

Chewbaaca

白手起家

论坛徽章:: 0

29楼 [报告]

发表于 2006-06-06 17:23 |只看该作者

多谢这么多兄弟帮我解决问题

b2linux:
tcpdump -nni eth0

here is the result:

59873 packets captured
119747 packets received by filter
0 packets dropped by kernel
怎样才算正常？capture的包数目要和filter一样么？多谢

fang007:
你好，我前面已经把我需要了解的问题描述的很清楚了，你看一下头一页的描述
另外你说的这些命令我都了解，我的目标主机是AIX，监控主机是SLACKWARE
这两个操作系统下面的命令也不太一样，但区别不大，问题是我要用监控主机监控
在广播包中对目标主机的异常数据包（异常的意思是原本不该在广播包中出现的数据包，但是通过windows下面的ethereal可以抓到），多谢

acmilanwin:
没有装图形界面的ethereal

springwind426:
新安装的slackware，没有防火墙