tcpdump输出到文件

『壹』 iptrace抓包时注意什么

用tcpmp 抓下来的包(保存为文件),可以用WireShark 打开。
把 tcpmp抓下来的包保存为文件，用-w参数。比如：
tcpmp -i eth0 -w filename
2,tcpmp抓包的时候，会对数据包进行截取，默认只保存96个字节，例如以下：
[root@TJ-A-CASP-1 ~]# tcpmp host 10.243.255.241 -w sms-20101206-casp1-01
tcpmp: listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
这样就看不到数据包的信息了，用-s参数可以指定保留数据包多少字节。例如：
[root@TJ-A-CASP-1 ~]# tcpmp -s 65535 host 10.243.255.241 -w sms-20101206-casp1-01
tcpmp: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes

solaris系统上抓包命令：snoop
执行命令：snoop -o ./test.pcap 10.1.125.197
这个命令是要求系统把与10.1.125.197通讯的数据包记录到test.pcap文件中
抓下来的数据包保存后，也可以用wireshark打开。
AIX系统上的抓包命令：iptrace
典型命令格式：iptrace -d 10.1.1.1 -b /temp/iptrace.pcap

其中-d 后面表示目标地址，-b 表示双向通信

这条命令是将与10.1.1.1通讯的数据包记录到iptrace.pcap文件中。
抓下来的数据包保存后，也可以用wireshark打开。
需要注意的是：抓包完成时一定要kill掉iptrace的进程（使用ctrl+c无法终止抓包程序），否则会一直抓包。

『贰』 使用tcpmp查看原始数据包

尽管Snort之类的工具在筛选通过我们的网络而来的所有内容方面做得非常出色，但有时必须要查看原始数据。为此，我们最好的工具是“ tcpmp”。

使用tcpmp的最基本方法是简单地发出以下命令：

您可以使用-v选项获得更多详细信息，而-vv可以获取更多信息。

有用的选项

假设您已登录到要管理的远程计算机。如果您不带任何选项运行“ tcpmp”，则输出将被来自您的SSH连接的数据包淹没。为避免这种情况，只需从输出中消除端口22：

码：

您可以使用许多不同的端口来执行此操作：

码：

如果要进行相反的操作，即仅监视某个端口（这对于调试网络应用程序非常有用），则可以执行以下操作：

您还可以从网络上的特定主机获取数据：

如果您的计算机具有多个网络接口，则还可以指定要收听的网络接口：

您还可以指定协议：

您可以在/ etc / protocols中找到协议列表。

保存输出以备后用

在某些情况下，您可能希望将输出重定向到文件，以便以后可以详细研究它或使用其他程序来解析输出。在以下示例中，您仍然可以在将输出保存到文件时观看输出：

在上面的示例中，我们可以使用日期和时间来标识每个转储。在处理一天中特定时间出现的问题时，这可能会派上用场。

tcpmp还可以选择将其输出转储为二进制格式，以便以后读取。要创建一个二进制文件：

稍后，您可以让tcpmp使用以下命令读取文件

您也可以使用ethereal程序打开原始转储并解释它。

tcpmp为我们提供了有关往返于网络的所有数据包的信息。

将Ethereal与tcpmp一起使用Ethereal

Ethereal是一种也可以用来捕获网络数据包的工具。安装后，您可以打开您制作的原始转储文件。

查看正在发生的事情变得相当容易。您可以看到源IP和目标IP以及它是什么类型的数据包。这很容易，然后即可对您可能遇到的网络问题进行故障排除并分析可疑行为。只是为了增加一则轶事，当我编写本课并解释自己的转储时，我在个人工作站上看到了一些奇怪的活动。我几乎每隔固定时间就查询世界上不同IP的机器上的端口32772。我为端口32772运行了一个特定的转储，如下所示：

读取原始输出

如您所见，即使从tcpmp读取所谓的“人类可读”输出也可能有点神秘。看下面的示例，我只是从转储中选出一个随机数据包：

我们所拥有的是对 https://www.linux.org/ 的Web服务器请求。时间戳记过后，您会在主机名（即端口80）的末尾注意到.www。这将被发送到发出请求的主机 test.linux.org 的端口34365。“ P”代表TCP“ oush”功能。这意味着应该立即发送数据。在2845：3739（894）之后的数字中，2845标记第一个数据包的八位位组的编号。数字3739是数据包发送的最后一个字节的数字加1。数字894是发送的数据包的长度。表示“ ack 1624”的部分是“ acknowledge”的TCP术语-表示该数据包已被接受，下一个预期的数据包编号为1624。之后，我们看到“ win 9648”发送主机正在等待窗口大小为9648个八位位组的数据包。这之后是时间戳。

现在，如果您认为难以解释，则使用-x选项，它将在十六进制输出中包含数据包内容。

我们可以从输出中得知这是一个HTTP请求。至于其余的，它不是人类可读的，但是我们很容易知道这是一个合法的数据包。使用这种格式的另一个好处是，即使我们无法完全解释此数据包的状况，也可以将其发送给可能的人。最终，这是未经任何过滤通过网络传输的原始数据。