我正在尝试在项目中使用 tcpdump 命令,但在理解帮助页面时遇到一些困难。
SYNOPSIS
tcpdump [ -AbdDefhgHIJKlLnNoOpPqRStuUvxX ] [ -B buffer_size ] [ -c
count ]
[ -C file_size ] [ -G rotate_seconds ] [ -F file ]
[ -i interface ] [ -j tstamp_type ] [ -k (metadata_arg) ]
[ -m module ] [ -M secret ]
[ -r file ] [ -s snaplen ] [ -T type ] [ -w file ]
[ -W filecount ]
[ -E spi@ipaddr algo:secret,... ]
[ -y datalinktype ] [ -z postrotate-command ] [ -Z user ]
[ -Q packet-metadata-filter ]
[ expression ]
首先,顶部的“[ -AbdDefhgHIJKlLnNoOpPqRStuUvxX ]”是什么?那是什么意思 ?我还看到互联网上有很多人用这个命令做疯狂的事情,例如tcpdmp -nnvvXSs 1514......那个 -nnvvXSs 是什么,我们怎么知道它可以使用?
我看到的代码示例根据我的说法与手册页不对应,我只是不知道如何阅读、如何理解这个帮助文件。
有人告诉我如何阅读并理解它吗?
答案1
按照惯例,括号表示可选的内容。因此,您可以运行tcpdump、 or tcpdump -c 3 -i eth0、 ortcpdump -c 3 -r /path/to/file等。此外,除非明确指出,选项可以按任何顺序使用,因此您可以运行tcp -i eth0 -c 3等。
大多数命令在使用单个字母时允许选项聚集。例如,tcpdump -AX相当于tcpdump -A -X.该手册将所有不带参数的选项分组以使演示文稿更短:[ -Abd ]将是[ -A ] [ -b ] [ -d ]等的快捷方式。
概要只是一个摘要。阅读“描述”或“选项”部分,了解每个选项的作用以及每个选项后面的单词可以替换为什么。
例如,tcpdmp -nnvvXSs 1514是 , and 的缩写tcpdump -n -n -v -v -X -s -s 1514,意思是:
-n:不进行名称解析。重复此选项不会产生额外效果。-v:导致 tcpdump 打印出更多内容。重复此选项会导致打印更多内容。-X将每个数据包内容的转储添加到输出中。-S导致打印绝对 TCP 序列号。-s 1514导致仅捕获每个数据包的前 1514 个字节。
答案2
您可以通过向下滚动查看手册页以获取有关选项的更多详细信息
root@ubuntu:~# man tcpdump
搜索任何关键字类型/关键字,然后输入
以下是可与 tcpdump 一起使用的最常见选项。
-i any :监听所有接口,看看是否看到任何流量。
-i eth0 :监听 eth0 接口。
-D:显示可用接口列表
-n :不解析主机名。
- -nn :不解析主机名或端口名。
- -q :输出更简洁(更安静)。
- -X :以十六进制和 ASCII 形式显示数据包的内容。
- -XX :与 -X 相同,但还显示以太网标头。
- -v、-vv、-vvv :增加返回的数据包信息量。
- -c :只获取x个数据包然后停止。 icmp :仅获取 ICMP 数据包。
- -s :定义捕获的快照长度(大小)(以字节为单位)。使用 -s0 获取所有内容,除非您故意捕获较少内容。
- -S :打印绝对序列号。
- -e :同时获取以太网标头。
- -q :显示较少的协议信息。
- -E :通过提供加密密钥来解密 IPSEC 流量。
如果您是 Tcpdump 新手,您可以查看在线资源,免费查看下面的内容。
答案3
好吧,我可能开始明白。告诉我我是否正确。
我在我的终端上尝试过这个sudo tcpdump -nnvvXeB 1024 host 10.11.204.15
所以如果我理解得好的话, 女巫是一样的,
-nnvvXeB 1024女巫 是一样的
-nn -vv -X -e -B 1024-B 1024 -nn -X -e -vv-B 1024 -nnXevv
他们是其他人“交换”我可以用这个命令做的吗?
在手册页中有不同的类别“名称”“概要”“描述”“选项”“输出格式”等...如果我理解正确,“概要”中的命令都是需要后面跟参数的命令(例如,-F 后面需要跟一个文件名,-i 后面需要跟一个接口的名称等。),而“OPTIONS”中列出的内容只是单个字母,可以在不带参数的情况下添加。
我对吗 ?谢谢