庆祝百贴必发原创,谢谢各位前辈的支持和贡献,申请设精
snoop抓包
[color=Red]solaris自带snoop抓包工具,抓所有数据流[/color]
#snoop
Usingdevice/dev/pcn0(promiscuousmode)
192.168.8.18->192.168.255.255[color=Red]NBT[/color]NSQueryRequestforWORKGROUP[1c],Success
192.168.253.35->solaris[color=Red]TELNET[/color]Cport=1246
solaris->192.168.253.35TELNETRport=1246Usingdevice/dev/pc
solaris->192.168.253.35TELNETRport=1246Usingdevice/dev/pc
192.168.4.150->(broadcast)[color=Red]ARP[/color]CWhois192.168.4.200,192.168.4.200?
192.168.4.200->(broadcast)ARPCWhois192.168.4.150,192.168.4.150?
#
[color=Red]抓源地址或目的为202.101.98.55的数据流:[/color]
#snoop202.101.98.55
Usingdevice/dev/pcn0(promiscuousmode)
192.168.253.35->dns.fz.fj.cnDNSCwww.163.com.InternetAddr?
dns.fz.fj.cn->192.168.253.35DNSRwww.163.com.InternetCNAMEwww.cache.split.netease.com.
#
说明:internetcname后的为解析www.163.com的名字时,代表www.163.com回答的主机的域名。
[color=Red]抓192.168.253.35和202.101.98.55之间的数据流(双向都抓)[/color]
#snoop192.168.253.35202.101.98.55
Usingdevice/dev/pcn0(promiscuousmode)
192.168.253.35->dns.fz.fj.cnDNSCwww.google.com.InternetAddr?
dns.fz.fj.cn->192.168.253.35DNSRwww.google.com.InternetCNAMEwww.l.google.com.
#
[color=Red]抓完存在当前目录下的cap文件中并查看[/color]
#snoop-ocap1-P-P表示处在非混杂模式抓数据,只抓广播、主播、目的为本机的数据
Usingdevice/dev/pcn0([color=Blue]nonpromiscuous[/color])
15^C15的含义是:显示目前抓了多少个数据流
#
#snoop-icap1
10.00000192.168.253.35->solarisTELNETCport=1246
20.18198192.168.253.35->solarisTELNETCport=1246
30.37232192.168.4.199->192.168.255.255NBTDatagramServiceType=17Source=WB-200[20]
40.00016?->(multicast)ETHERType=EF08(Unknown),size=180bytes
50.62546192.168.253.35->solarisTELNETCport=1246
60.13822?->(multicast)ETHERType=0000(LLC/802.3),size=52bytes
70.06283192.168.253.35->solarisTELNETCport=1246
80.90301192.168.253.35->solarisTELNETCport=1246
90.19781192.168.253.35->solarisTELNETCport=1246
100.81493?->(multicast)ETHERType=0000(LLC/802.3),size=52bytes
110.07018192.168.253.35->solarisTELNETCport=1246
120.19939192.168.253.35->solarisTELNETCport=1246
130.90151192.168.253.35->solarisTELNETCport=1246
140.18904192.168.253.35->solarisTELNETCport=1246
150.68422?->(multicast)ETHERType=0000(LLC/802.3),size=52bytes
#snoop-icap1-p10,12只看10-12条记录
#snoop-icap1-p10只看第10条记录
#snoop-icap1-v-p101查看第10条数据流的包头的详细内容
#snoop-icap1-v-x0-p101查看第10条数据流的全部的详细内容
[color=Red]抓主机192.168.253.35和202.101.98.55之间的tcp或者udp端口53的数据[/color]
#snoop192.168.253.35and202.101.98.55and/(tcporudp/)andport53
[color=Blue]输入(的时候要加转义符号/[/color]
[color=Red]snoop的详细参数[/color]
Snoop是Solaris系统中自带的工具,是一个用于显示网络通讯的程序,它可捕获IP包并将其显示或保存到指定文件.(限超级用户使用snoop)
Snoop可将捕获的包以一行的形式加以总结或用多行加以详细的描述(有调用不同的参数–v-V来实现).在总结方式下(-V),将仅显示最高层的相关协议,例如一个NFS包将仅显示NFS信息,其低层的RPC,UDP,IP,Ethernet帧信息将不会显示,但是当加上相应的参数(-v),这些信息都能被显示出来.
-C
-D
-N
-P在非混杂模式下抓包
-S抓包的时候显示数据包的大小
-V半详细的显示抓的数据的信息
-t[r|a|d]显示时间戳,-ta显示当前系统时间,精确到毫秒
-v最详细的显示数据的信息
-xoffset[,length]以16进制或ACSII方式显示某数据的部分内容,比如-x0,10只显示0-10字节
#snoop-icap1-v-x0-p101查看被抓获的第101个数据流的全部内容
[color=Red]表达式:[/color]
根据地址:
#snoopx.x.x.xIPV4的IP
#snoop0XX:XX:XX:XXETHERNET的MAC地址
数据的方向:
fromx.x.x.x或者srcx.x.x.x
tox.x.x.x或者dstx.x.x.x
可用的数据类型的关键词:
ip,ip6,arp,rarp,pppoed,pppoes,pppoe,broadcast,multicast,apple,decnet
udp,tcp,icmp,icmp6,ah,esp
greaterlength
Trueifthepacketislongerthanlength.
lesslength
Trueifthepacketisshorterthanlength.
netnet
#snoopfromnet192.168.1.0抓来自192.168.1.0/24的数据
#snoopfromnet192.168.0.0抓来自192.168.0.0/16的数据
portxxXX为TCP或者UDP的端口号或者/etc/services里定义的名字
#snooptoudpandport53抓到UDP53的数据 |
|