抓取eth0
㈠ linux下的有什么shell可以抓取空中包
1、linux 的 tcpmp
2、抓取之后用 wireshare分析看下
㈡ Linux抓包如何分包
方法如下。
tcpmp 是Linux系统下的一个强大的命令,可以将网络中传送的数据包完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。
本教程对tcpmp命令使用进行讲解说明,通过本教程您可以学会linux系统下使用tcpmp命令进行网络抓包,实现对数据包进行捕获分析。
tcpmp 命令格式介绍
首先我们对Linux系统下tcpmp命令格式进行一个介绍说明,在下面的使用教程中讲到tcpmp命令示例时,您就可以参考tcpmp命令参数说明进行学习。
该命令示例在CentOS release 6.10 (Final) 中tcpmp演示
语法:
tcpmp [ -AdDefIJKlLnNOpqRStuUvxX ] [ -B buffer_size ] [ -c count ]
[ -C file_size ] [ -G rotate_seconds ] [ -F file ]
[ -i interface ] [ -j tstamp_type ] [ -m mole ] [ -M secret ]
[ -Q|-P in|out|inout ]
[ -r file ] [ -s snaplen ] [ -T type ] [ -w file ]
[ -W filecount ]
[ -E spi@ipaddr algo:secret,... ]
[ -y datalinktype ] [ -z postrotate-command ] [ -Z user ]
[ expression ]
命令行参数介绍:
-A 以ASCII格式打印出所有分组,并将链路层的头最小化。
-c 在收到指定的数量的分组后,tcpmp就会停止。
-C 在将一个原始分组写入文件之前,检查文件当前的大小是否超过了参数file_size
中指定的大小。如果超过了指定大小,则关闭当前文件,然后在打开一个新的文件。参数 file_size
的单位是兆字节(是1,000,000字节,而不是1,048,576字节)。
-d 将匹配信息包的代码以人们能够理解的汇编格式给出。
-dd 将匹配信息包的代码以c语言程序段的格式给出。
-ddd 将匹配信息包的代码以十进制的形式给出。
-D 打印出系统中所有可以用tcpmp截包的网络接口。
-e 在输出行打印出数据链路层的头部信息。
-E 用spi@ipaddr algo:secret解密那些以addr作为地址,并且包含了安全参数索引值spi的IPsec ESP分组。
-f 将外部的Internet地址以数字的形式打印出来。
-F 从指定的文件中读取表达式,忽略命令行中给出的表达式。
-i 指定监听的网络接口。
-l 使标准输出变为缓冲行形式。
-L 列出网络接口的已知数据链路。
-m 从文件mole中导入SMI MIB模块定义。该参数可以被使用多次,以导入多个MIB模块。
-M 如果tcp报文中存在TCP-MD5选项,则需要用secret作为共享的验证码用于验证TCP-MD5选选项摘要(详情可参考RFC 2385)。
-n 不把网络地址转换成名字。
-N 不输出主机名中的域名部分。例如,link.linux265.com 只输出link。
-t 在输出的每一行不打印时间戳。
-O 不运行分组分组匹配(packet-matching)代码优化程序。
-P 不将网络接口设置成混杂模式。
-q 快速输出。只输出较少的协议信息。
-r 从指定的文件中读取包(这些包一般通过-w选项产生)。
-S 将tcp的序列号以绝对值形式输出,而不是相对值。
-s 从每个分组中读取最开始的snaplen个字节,而不是默认的68个字节。
-T 将监听到的包直接解释为指定的类型的报文,常见的类型有rpc远程过程调用)和snmp(简单网络管理协议;)。
-t 不在每一行中输出时间戳。
-tt 在每一行中输出非格式化的时间戳。
-ttt 输出本行和前面一行之间的时间差。
-tttt 在每一行中输出由date处理的默认格式的时间戳。
-u 输出未解码的NFS句柄。
-v 输出一个稍微详细的信息,例如在ip包中可以包括ttl和服务类型的信息。
-vv 输出详细的报文信息。
-w 直接将分组写入文件中,而不是不分析并打印出来。
-x 以16进制数形式显示每一个报文 (去掉链路层报头) . 可以显示较小的完整报文, 否则只显示snaplen个字节.
-xx 以16进制数形式显示每一个报文(包含链路层包头)。
-X 以16进制和ASCII码形式显示每个报文(去掉链路层报头)。
-XX 以16进制和ASCII吗形式显示每个报文(包含链路层报头)。
-y 设置tcpmp 捕获数据链路层协议类型
-Z 使tcpmp 放弃自己的超级权限(如果以root用户启动tcpmp, tcpmp将会有超级用户权限), 并把当前tcpmp的用户ID设置为user, 组ID设置为user首要所属组的ID
tcpmp 命令使用示例
linux系统下执行tcpmp命令需要root账号或者具备sudo权限的账号,否则执行tcpmp命令说,系统会提示tcpmp: no suitable device found。
在下面的例子中,-i eth0 参数表示只抓取 eth0 接口数据包,不加-i eth0 是表示抓取所有的接口包括 lo。
01、抓取所有网络包,并在terminal中显示抓取的结果,将包以十六进制的形式显示。
tcpmp
02、抓取所有的网络包,并存到 result.cap 文件中。
tcpmp -w result.cap
03、抓取所有的经过eth0网卡的网络包,并存到result.cap 文件中。
tcpmp -i eth0 -w result.cap
04、抓取源地址是192.168.1.100的包,并将结果保存到 result.cap 文件中。
tcpmp src host 192.168.1.100 -w result.cap
05、抓取地址包含是192.168.1.100的包,并将结果保存到 result.cap 文件中。
tcpmp host 192.168.1.100 -w result.cap
06、抓取目的地址包含是192.168.1.100的包,并将结果保存到 result.cap 文件中。
tcpmp dest host 192.168.1.100 -w result.cap
07、抓取主机地址为 192.168.1.100 的数据包
tcpmp -i eth0 -vnn host 192.168.1.100
08、抓取包含192.168.1.0/24网段的数据包
tcpmp -i eth0 -vnn net 192.168.1.0/24
09、抓取网卡eth0上所有包含端口22的数据包
tcpmp -i eth0 -vnn port 22
10、抓取指定协议格式的数据包,协议格式可以是「udp,icmp,arp,ip」中的任何一种,例如以下命令:
tcpmp udp -i eth0 -vnn
11、抓取经过 eth0 网卡的源 ip 是 192.168.1.100 数据包,src参数表示源。
tcpmp -i eth0 -vnn src host 192.168.1.100
12、抓取经过 eth0 网卡目的 ip 是 192.168.1.100 数据包,dst参数表示目的。
tcpmp -i eth0 -vnn dst host 192.168.1.100
13、抓取源端口是22的数据包
tcpmp -i eth0 -vnn src port 22
14、抓取源ip是 192.168.1.100 且目的ip端口是22的数据包
tcpmp -i eth0 -vnn src host 192.168.1.100 and dst port 22
15、抓取源ip``192.168.1.100``22
tcpmp -i eth0 -vnn src host 192.168.1.100 or port 22
16、抓取源ip``192.168.1.100``22
tcpmp -i eth0 -vnn src host 192.168.1.100 and not port 22
17、抓取源ip是192.168.1.100且目的端口是22,或源ip是192.168.1.102且目的端口是80的数据包。
tcpmp -i eth0 -vnn ( src host 192.168.1.100 and dst port 22 ) or ( src host 192.168.1.102 and dst port 80 )
18、把抓取的数据包记录存到/tmp/result文件中,当抓取100个数据包后就退出程序。
tcpmp _i eth0 -vnn -w /tmp/result -c 100
19、从/tmp/result记录中读取tcp协议的数据包
tcpmp -i eth0 tcp -vnn -r /tmp/result
20、想要截获所有192.168.1.100的主机收到的和发出的所有的数据包:
tcpmp host 192.168.1.100
21、如果想要获取主机192.168.1.100除了和主机192.168.1.101之外所有主机通信的ip包,使用命令:
tcpmp ip host 192.168.1.100 and ! 192.168.1.101
22、如果想要获取主机 192.168.1.100 接收或发出的 telnet 包,使用如下命令:
tcpmp tcp port 23 host 192.168.1.100
㈢ 如何抓取linux系统的eth0网卡来自172.16.2.10的80端口的包
tcpmp -i eth0 -nn ' port 80 and host 172.16.2.10'
使用tcpmp指令来抓取包,后面接相应的参数即可。
㈣ 如何在linux中获取网卡信息
查看 linux 的网卡信息步骤如下:工具原料:linux操作系统①启动 linux 操作系统,进入到桌面;②启动终端;③终端输入命令 ifconfig eth0,回车;④linux 的网卡信息解读:1.查看网卡生产厂商和信号:查看基本信息:lspci查看详细信息:lspci -vvv # 3个小写的v查看网卡信息:lspci | grep Ethernet;2.查看网卡驱动:查看网卡驱动信息:lspci -vvv # 找到网卡设备的详细信息,包括网卡驱动# lsmod 列出加载的所有驱动,包括网卡驱动;3.查看网卡驱动版本查看模块信息:modifo<mole name> # 其中包含version信息或 # ethtool-i <device name>;4.查看网络接口队列数查看网卡接口的中断信息:#cat /proc/interrupts | grep eth0或 # ethtool-S eth0;5.查看网卡驱动源码的版本号解压Intel网卡驱动源码,打开解压缩目录下的*.spec文件查看驱动的版本;
㈤ 为了抓取网卡eth0上只来自于主机192.168.1.2的http通讯网络包可以使用什么命令
任何命令都不管用,抓包要使用专门的工具,比如WireShark
㈥ 获取eth0网卡上80端口的数据包信息
[root@haojiu ~]# tcpmp -i eth0 port 80
如果有什么不懂的话可以去看看《Linux就该这么学》这本书,非常适合新手学习Linux。
㈦ linux不能自动获取IP怎么办启动的时候不能弹出eth0。
多试几次>> 正在获取IP...
Rather than invoking init scripts through /etc/init.d, use the service(8)
utility, e.g. service smbd reload
Since the script you are attempting to invoke has been converted to an
Upstart job, you may also use the reload(8) utility, e.g. reload smbd
RTNETLINK answers: File exists
>> 操作结束。
** 本机MAC: 60:eb:69:f1:9b:2f
** 使用IP: 172.25.65.165
** 子网掩码: 255.255.255.0
>> 发送心跳包以保持在线...
㈧ linux双网卡配置不成功,我想要eth0是手工配置的5点网段的,eth1是自动获取的1点网段的,
进入网络配置文件 /etc/network/interfaces 在里面添加
auto eth0
iface eth0 inet static
address 192.168.5.x
gateway 192.168.5.1
netmask 255.255.255.0
broadcast 192.168.5.255
auto eth1
iface eth1 inet dhcp
gateway 192.168.1.1
netmask 255.255.255.0
broadcast 192.168.1.255
eth0 肯定没问题 eth1 尝试把 不知道你要干嘛 都设置成静态的不省事了吗 又要一静一动 又要求不是一个网段 。。。
㈨ linux驱动中通过网卡名如eth0如何获取该网卡的net_device实例
可以,用ioctl,程序运行时需要有root权限