45fan.com - 路饭网

搜索: 您的位置主页 > 网络频道 > 阅读资讯:使用snoop抓包工具的步骤

使用snoop抓包工具的步骤

2016-08-31 04:16:38 来源:www.45fan.com 【

使用snoop抓包工具的步骤

http://www.chinaunix.net 作者:yuhuohu发表于:2006-04-17 15:16:49

庆祝百贴必发原创,谢谢各位前辈的支持和贡献,申请设精

snoop抓包
[color=Red]solaris自带snoop抓包工具,抓所有数据流[/color]

#snoop
Usingdevice/dev/pcn0(promiscuousmode)
192.168.8.18->192.168.255.255[color=Red]NBT[/color]NSQueryRequestforWORKGROUP[1c],Success
192.168.253.35->solaris[color=Red]TELNET[/color]Cport=1246
solaris->192.168.253.35TELNETRport=1246Usingdevice/dev/pc
solaris->192.168.253.35TELNETRport=1246Usingdevice/dev/pc
192.168.4.150->(broadcast)[color=Red]ARP[/color]CWhois192.168.4.200,192.168.4.200?
192.168.4.200->(broadcast)ARPCWhois192.168.4.150,192.168.4.150?
#

[color=Red]抓源地址或目的为202.101.98.55的数据流:[/color]

#snoop202.101.98.55
Usingdevice/dev/pcn0(promiscuousmode)
192.168.253.35->dns.fz.fj.cnDNSCwww.163.com.InternetAddr?
dns.fz.fj.cn->192.168.253.35DNSRwww.163.com.InternetCNAMEwww.cache.split.netease.com.

#

说明:internetcname后的为解析www.163.com的名字时,代表www.163.com回答的主机的域名。

[color=Red]抓192.168.253.35和202.101.98.55之间的数据流(双向都抓)[/color]

#snoop192.168.253.35202.101.98.55
Usingdevice/dev/pcn0(promiscuousmode)
192.168.253.35->dns.fz.fj.cnDNSCwww.google.com.InternetAddr?
dns.fz.fj.cn->192.168.253.35DNSRwww.google.com.InternetCNAMEwww.l.google.com.
#

[color=Red]抓完存在当前目录下的cap文件中并查看[/color]

#snoop-ocap1-P-P表示处在非混杂模式抓数据,只抓广播、主播、目的为本机的数据
Usingdevice/dev/pcn0([color=Blue]nonpromiscuous[/color])
15^C15的含义是:显示目前抓了多少个数据流
#

#snoop-icap1
10.00000192.168.253.35->solarisTELNETCport=1246
20.18198192.168.253.35->solarisTELNETCport=1246
30.37232192.168.4.199->192.168.255.255NBTDatagramServiceType=17Source=WB-200[20]
40.00016?->(multicast)ETHERType=EF08(Unknown),size=180bytes
50.62546192.168.253.35->solarisTELNETCport=1246
60.13822?->(multicast)ETHERType=0000(LLC/802.3),size=52bytes
70.06283192.168.253.35->solarisTELNETCport=1246
80.90301192.168.253.35->solarisTELNETCport=1246
90.19781192.168.253.35->solarisTELNETCport=1246
100.81493?->(multicast)ETHERType=0000(LLC/802.3),size=52bytes
110.07018192.168.253.35->solarisTELNETCport=1246
120.19939192.168.253.35->solarisTELNETCport=1246
130.90151192.168.253.35->solarisTELNETCport=1246
140.18904192.168.253.35->solarisTELNETCport=1246
150.68422?->(multicast)ETHERType=0000(LLC/802.3),size=52bytes
#snoop-icap1-p10,12只看10-12条记录

#snoop-icap1-p10只看第10条记录

#snoop-icap1-v-p101查看第10条数据流的包头的详细内容

#snoop-icap1-v-x0-p101查看第10条数据流的全部的详细内容

[color=Red]抓主机192.168.253.35和202.101.98.55之间的tcp或者udp端口53的数据[/color]

#snoop192.168.253.35and202.101.98.55and/(tcporudp/)andport53

[color=Blue]输入(的时候要加转义符号/[/color]


[color=Red]snoop的详细参数[/color]
Snoop是Solaris系统中自带的工具,是一个用于显示网络通讯的程序,它可捕获IP包并将其显示或保存到指定文件.(限超级用户使用snoop)
Snoop可将捕获的包以一行的形式加以总结或用多行加以详细的描述(有调用不同的参数–v-V来实现).在总结方式下(-V),将仅显示最高层的相关协议,例如一个NFS包将仅显示NFS信息,其低层的RPC,UDP,IP,Ethernet帧信息将不会显示,但是当加上相应的参数(-v),这些信息都能被显示出来.

-C

-D

-N

-P在非混杂模式下抓包

-S抓包的时候显示数据包的大小

-V半详细的显示抓的数据的信息

-t[r|a|d]显示时间戳,-ta显示当前系统时间,精确到毫秒

-v最详细的显示数据的信息

-xoffset[,length]以16进制或ACSII方式显示某数据的部分内容,比如-x0,10只显示0-10字节

#snoop-icap1-v-x0-p101查看被抓获的第101个数据流的全部内容


[color=Red]表达式:[/color]

根据地址:

#snoopx.x.x.xIPV4的IP

#snoop0XX:XX:XX:XXETHERNET的MAC地址

数据的方向:

fromx.x.x.x或者srcx.x.x.x

tox.x.x.x或者dstx.x.x.x

可用的数据类型的关键词:

ip,ip6,arp,rarp,pppoed,pppoes,pppoe,broadcast,multicast,apple,decnet

udp,tcp,icmp,icmp6,ah,esp

greaterlength
Trueifthepacketislongerthanlength.

lesslength
Trueifthepacketisshorterthanlength.

netnet

#snoopfromnet192.168.1.0抓来自192.168.1.0/24的数据

#snoopfromnet192.168.0.0抓来自192.168.0.0/16的数据

portxxXX为TCP或者UDP的端口号或者/etc/services里定义的名字

#snooptoudpandport53抓到UDP53的数据
 

本文地址:http://www.45fan.com/a/question/70061.html
Tags: 工具 抓包 snoop
编辑:路饭网
关于我们 | 联系我们 | 友情链接 | 网站地图 | Sitemap | App | 返回顶部