抓取eth0
㈠ linux下的有什麼shell可以抓取空中包
1、linux 的 tcpmp
2、抓取之後用 wireshare分析看下
㈡ Linux抓包如何分包
方法如下。
tcpmp 是Linux系統下的一個強大的命令,可以將網路中傳送的數據包完全截獲下來提供分析。它支持針對網路層、協議、主機、網路或埠的過濾,並提供and、or、not等邏輯語句來幫助你去掉無用的信息。
本教程對tcpmp命令使用進行講解說明,通過本教程您可以學會linux系統下使用tcpmp命令進行網路抓包,實現對數據包進行捕獲分析。
tcpmp 命令格式介紹
首先我們對Linux系統下tcpmp命令格式進行一個介紹說明,在下面的使用教程中講到tcpmp命令示例時,您就可以參考tcpmp命令參數說明進行學習。
該命令示例在CentOS release 6.10 (Final) 中tcpmp演示
語法:
tcpmp [ -AdDefIJKlLnNOpqRStuUvxX ] [ -B buffer_size ] [ -c count ]
[ -C file_size ] [ -G rotate_seconds ] [ -F file ]
[ -i interface ] [ -j tstamp_type ] [ -m mole ] [ -M secret ]
[ -Q|-P in|out|inout ]
[ -r file ] [ -s snaplen ] [ -T type ] [ -w file ]
[ -W filecount ]
[ -E spi@ipaddr algo:secret,... ]
[ -y datalinktype ] [ -z postrotate-command ] [ -Z user ]
[ expression ]
命令行參數介紹:
-A 以ASCII格式列印出所有分組,並將鏈路層的頭最小化。
-c 在收到指定的數量的分組後,tcpmp就會停止。
-C 在將一個原始分組寫入文件之前,檢查文件當前的大小是否超過了參數file_size
中指定的大小。如果超過了指定大小,則關閉當前文件,然後在打開一個新的文件。參數 file_size
的單位是兆位元組(是1,000,000位元組,而不是1,048,576位元組)。
-d 將匹配信息包的代碼以人們能夠理解的匯編格式給出。
-dd 將匹配信息包的代碼以c語言程序段的格式給出。
-ddd 將匹配信息包的代碼以十進制的形式給出。
-D 列印出系統中所有可以用tcpmp截包的網路介面。
-e 在輸出行列印出數據鏈路層的頭部信息。
-E 用spi@ipaddr algo:secret解密那些以addr作為地址,並且包含了安全參數索引值spi的IPsec ESP分組。
-f 將外部的Internet地址以數字的形式列印出來。
-F 從指定的文件中讀取表達式,忽略命令行中給出的表達式。
-i 指定監聽的網路介面。
-l 使標准輸出變為緩沖行形式。
-L 列出網路介面的已知數據鏈路。
-m 從文件mole中導入SMI MIB模塊定義。該參數可以被使用多次,以導入多個MIB模塊。
-M 如果tcp報文中存在TCP-MD5選項,則需要用secret作為共享的驗證碼用於驗證TCP-MD5選選項摘要(詳情可參考RFC 2385)。
-n 不把網路地址轉換成名字。
-N 不輸出主機名中的域名部分。例如,link.linux265.com 只輸出link。
-t 在輸出的每一行不列印時間戳。
-O 不運行分組分組匹配(packet-matching)代碼優化程序。
-P 不將網路介面設置成混雜模式。
-q 快速輸出。只輸出較少的協議信息。
-r 從指定的文件中讀取包(這些包一般通過-w選項產生)。
-S 將tcp的序列號以絕對值形式輸出,而不是相對值。
-s 從每個分組中讀取最開始的snaplen個位元組,而不是默認的68個位元組。
-T 將監聽到的包直接解釋為指定的類型的報文,常見的類型有rpc遠程過程調用)和snmp(簡單網路管理協議;)。
-t 不在每一行中輸出時間戳。
-tt 在每一行中輸出非格式化的時間戳。
-ttt 輸出本行和前面一行之間的時間差。
-tttt 在每一行中輸出由date處理的默認格式的時間戳。
-u 輸出未解碼的NFS句柄。
-v 輸出一個稍微詳細的信息,例如在ip包中可以包括ttl和服務類型的信息。
-vv 輸出詳細的報文信息。
-w 直接將分組寫入文件中,而不是不分析並列印出來。
-x 以16進制數形式顯示每一個報文 (去掉鏈路層報頭) . 可以顯示較小的完整報文, 否則只顯示snaplen個位元組.
-xx 以16進制數形式顯示每一個報文(包含鏈路層包頭)。
-X 以16進制和ASCII碼形式顯示每個報文(去掉鏈路層報頭)。
-XX 以16進制和ASCII嗎形式顯示每個報文(包含鏈路層報頭)。
-y 設置tcpmp 捕獲數據鏈路層協議類型
-Z 使tcpmp 放棄自己的超級許可權(如果以root用戶啟動tcpmp, tcpmp將會有超級用戶許可權), 並把當前tcpmp的用戶ID設置為user, 組ID設置為user首要所屬組的ID
tcpmp 命令使用示例
linux系統下執行tcpmp命令需要root賬號或者具備sudo許可權的賬號,否則執行tcpmp命令說,系統會提示tcpmp: no suitable device found。
在下面的例子中,-i eth0 參數表示只抓取 eth0 介面數據包,不加-i eth0 是表示抓取所有的介麵包括 lo。
01、抓取所有網路包,並在terminal中顯示抓取的結果,將包以十六進制的形式顯示。
tcpmp
02、抓取所有的網路包,並存到 result.cap 文件中。
tcpmp -w result.cap
03、抓取所有的經過eth0網卡的網路包,並存到result.cap 文件中。
tcpmp -i eth0 -w result.cap
04、抓取源地址是192.168.1.100的包,並將結果保存到 result.cap 文件中。
tcpmp src host 192.168.1.100 -w result.cap
05、抓取地址包含是192.168.1.100的包,並將結果保存到 result.cap 文件中。
tcpmp host 192.168.1.100 -w result.cap
06、抓取目的地址包含是192.168.1.100的包,並將結果保存到 result.cap 文件中。
tcpmp dest host 192.168.1.100 -w result.cap
07、抓取主機地址為 192.168.1.100 的數據包
tcpmp -i eth0 -vnn host 192.168.1.100
08、抓取包含192.168.1.0/24網段的數據包
tcpmp -i eth0 -vnn net 192.168.1.0/24
09、抓取網卡eth0上所有包含埠22的數據包
tcpmp -i eth0 -vnn port 22
10、抓取指定協議格式的數據包,協議格式可以是「udp,icmp,arp,ip」中的任何一種,例如以下命令:
tcpmp udp -i eth0 -vnn
11、抓取經過 eth0 網卡的源 ip 是 192.168.1.100 數據包,src參數表示源。
tcpmp -i eth0 -vnn src host 192.168.1.100
12、抓取經過 eth0 網卡目的 ip 是 192.168.1.100 數據包,dst參數表示目的。
tcpmp -i eth0 -vnn dst host 192.168.1.100
13、抓取源埠是22的數據包
tcpmp -i eth0 -vnn src port 22
14、抓取源ip是 192.168.1.100 且目的ip埠是22的數據包
tcpmp -i eth0 -vnn src host 192.168.1.100 and dst port 22
15、抓取源ip``192.168.1.100``22
tcpmp -i eth0 -vnn src host 192.168.1.100 or port 22
16、抓取源ip``192.168.1.100``22
tcpmp -i eth0 -vnn src host 192.168.1.100 and not port 22
17、抓取源ip是192.168.1.100且目的埠是22,或源ip是192.168.1.102且目的埠是80的數據包。
tcpmp -i eth0 -vnn ( src host 192.168.1.100 and dst port 22 ) or ( src host 192.168.1.102 and dst port 80 )
18、把抓取的數據包記錄存到/tmp/result文件中,當抓取100個數據包後就退出程序。
tcpmp _i eth0 -vnn -w /tmp/result -c 100
19、從/tmp/result記錄中讀取tcp協議的數據包
tcpmp -i eth0 tcp -vnn -r /tmp/result
20、想要截獲所有192.168.1.100的主機收到的和發出的所有的數據包:
tcpmp host 192.168.1.100
21、如果想要獲取主機192.168.1.100除了和主機192.168.1.101之外所有主機通信的ip包,使用命令:
tcpmp ip host 192.168.1.100 and ! 192.168.1.101
22、如果想要獲取主機 192.168.1.100 接收或發出的 telnet 包,使用如下命令:
tcpmp tcp port 23 host 192.168.1.100
㈢ 如何抓取linux系統的eth0網卡來自172.16.2.10的80埠的包
tcpmp -i eth0 -nn ' port 80 and host 172.16.2.10'
使用tcpmp指令來抓取包,後面接相應的參數即可。
㈣ 如何在linux中獲取網卡信息
查看 linux 的網卡信息步驟如下:工具原料:linux操作系統①啟動 linux 操作系統,進入到桌面;②啟動終端;③終端輸入命令 ifconfig eth0,回車;④linux 的網卡信息解讀:1.查看網卡生產廠商和信號:查看基本信息:lspci查看詳細信息:lspci -vvv # 3個小寫的v查看網卡信息:lspci | grep Ethernet;2.查看網卡驅動:查看網卡驅動信息:lspci -vvv # 找到網卡設備的詳細信息,包括網卡驅動# lsmod 列出載入的所有驅動,包括網卡驅動;3.查看網卡驅動版本查看模塊信息:modifo<mole name> # 其中包含version信息或 # ethtool-i <device name>;4.查看網路介面隊列數查看網卡介面的中斷信息:#cat /proc/interrupts | grep eth0或 # ethtool-S eth0;5.查看網卡驅動源碼的版本號解壓Intel網卡驅動源碼,打開解壓縮目錄下的*.spec文件查看驅動的版本;
㈤ 為了抓取網卡eth0上只來自於主機192.168.1.2的http通訊網路包可以使用什麼命令
任何命令都不管用,抓包要使用專門的工具,比如WireShark
㈥ 獲取eth0網卡上80埠的數據包信息
[root@haojiu ~]# tcpmp -i eth0 port 80
如果有什麼不懂的話可以去看看《Linux就該這么學》這本書,非常適合新手學習Linux。
㈦ linux不能自動獲取IP怎麼辦啟動的時候不能彈出eth0。
多試幾次>> 正在獲取IP...
Rather than invoking init scripts through /etc/init.d, use the service(8)
utility, e.g. service smbd reload
Since the script you are attempting to invoke has been converted to an
Upstart job, you may also use the reload(8) utility, e.g. reload smbd
RTNETLINK answers: File exists
>> 操作結束。
** 本機MAC: 60:eb:69:f1:9b:2f
** 使用IP: 172.25.65.165
** 子網掩碼: 255.255.255.0
>> 發送心跳包以保持在線...
㈧ linux雙網卡配置不成功,我想要eth0是手工配置的5點網段的,eth1是自動獲取的1點網段的,
進入網路配置文件 /etc/network/interfaces 在裡面添加
auto eth0
iface eth0 inet static
address 192.168.5.x
gateway 192.168.5.1
netmask 255.255.255.0
broadcast 192.168.5.255
auto eth1
iface eth1 inet dhcp
gateway 192.168.1.1
netmask 255.255.255.0
broadcast 192.168.1.255
eth0 肯定沒問題 eth1 嘗試把 不知道你要幹嘛 都設置成靜態的不省事了嗎 又要一靜一動 又要求不是一個網段 。。。
㈨ linux驅動中通過網卡名如eth0如何獲取該網卡的net_device實例
可以,用ioctl,程序運行時需要有root許可權