如何阅读这个 tcpdump 手册页?

如何阅读这个 tcpdump 手册页?

我正在尝试在项目中使用 tcpdump 命令,但在理解帮助页面时遇到一些困难。

SYNOPSIS
   tcpdump [ -AbdDefhgHIJKlLnNoOpPqRStuUvxX ] [ -B buffer_size ] [ -c
   count ]
           [ -C file_size ] [ -G rotate_seconds ] [ -F file ]
           [ -i interface ] [ -j tstamp_type ] [ -k (metadata_arg) ]
           [ -m module ] [ -M secret ]
           [ -r file ] [ -s snaplen ] [ -T type ] [ -w file ]
           [ -W filecount ]
           [ -E spi@ipaddr algo:secret,...  ]
           [ -y datalinktype ] [ -z postrotate-command ] [ -Z user ]
           [ -Q packet-metadata-filter ]
           [ expression ]

首先,顶部的“[ -AbdDefhgHIJKlLnNoOpPqRStuUvxX ]”是什么?那是什么意思 ?我还看到互联网上有很多人用这个命令做疯狂的事情,例如tcpdmp -nnvvXSs 1514......那个 -nnvvXSs 是什么,我们怎么知道它可以使用?

我看到的代码示例根据我的说法与手册页不对应,我只是不知道如何阅读、如何理解这个帮助文件。

有人告诉我如何阅读并理解它吗?

答案1

按照惯例,括号表示可选的内容。因此,您可以运行tcpdump、 or tcpdump -c 3 -i eth0、 ortcpdump -c 3 -r /path/to/file等​​。此外,除非明确指出,选项可以按任何顺序使用,因此您可以运行tcp -i eth0 -c 3等。

大多数命令在使用单个字母时允许选项聚集。例如,tcpdump -AX相当于tcpdump -A -X.该手册将所有不带参数的选项分组以使演示文稿更短:[ -Abd ]将是[ -A ] [ -b ] [ -d ]等的快捷方式。

概要只是一个摘要。阅读“描述”或“选项”部分,了解每个选项的作用以及每个选项后面的单词可以替换为什么。

例如,tcpdmp -nnvvXSs 1514是 , and 的缩写tcpdump -n -n -v -v -X -s -s 1514,意思是:

  • -n:不进行名称解析。重复此选项不会产生额外效果。
  • -v:导致 tcpdump 打印出更多内容。重复此选项会导致打印更多内容。
  • -X将每个数据包内容的转储添加到输出中。
  • -S导致打印绝对 TCP 序列号。
  • -s 1514导致仅捕获每个数据包的前 1514 个字节。

答案2

您可以通过向下滚动查看手册页以获取有关选项的更多详细信息

root@ubuntu:~# man tcpdump

搜索任何关键字类型/关键字,然后输入

以下是可与 tcpdump 一起使用的最常见选项。

  • -i any :监听所有接口,看看是否看到任何流量。

  • -i eth0 :监听 eth0 接口。

  • -D:显示可用接口列表

  • -n :不解析主机名。

  • -nn :不解析主机名或端口名。
  • -q :输出更简洁(更安静)。
  • -X :以十六进制和 ASCII 形式显示数据包的内容。
  • -XX :与 -X 相同,但还显示以太网标头。
  • -v、-vv、-vvv :增加返回的数据包信息量。
  • -c :只获取x个数据包然后停止。 icmp :仅获取 ICMP 数据包。
  • -s :定义捕获的快照长度(大小)(以字节为单位)。使用 -s0 获取所有内容,除非您故意捕获较少内容。
  • -S :打印绝对序列号。
  • -e :同时获取以太网标头。
  • -q :显示较少的协议信息。
  • -E :通过提供加密密钥来解密 IPSEC 流量。

如果您是 Tcpdump 新手,您可以查看在线资源,免费查看下面的内容。

https://danielmiessler.com/study/tcpdump/

http://packetpushers.net/masterclass-tcpdump-expressions/

答案3

好吧,我可能开始明白。告诉我我是否正确。

我在我的终端上尝试过这个sudo tcpdump -nnvvXeB 1024 host 10.11.204.15

所以如果我理解得好的话, 女巫是一样的, -nnvvXeB 1024女巫 是一样的 -nn -vv -X -e -B 1024-B 1024 -nn -X -e -vv-B 1024 -nnXevv

他们是其他人“交换”我可以用这个命令做的吗?

在手册页中有不同的类别“名称”“概要”“描述”“选项”“输出格式”等...如果我理解正确,“概要”中的命令都是需要后面跟参数的命令(例如,-F 后面需要跟一个文件名,-i 后面需要跟一个接口的名称等。),而“OPTIONS”中列出的内容只是单个字母,可以在不带参数的情况下添加。

我对吗 ?谢谢

相关内容