caputer package tools:
Solaris    -- snoop
Linux        -- tcpdump
Windows -- sniffor
AIX            -- iptrace

HP-UX     -- nettl

关于tshark的抓包命令,我有另一篇博客来单独介绍了:http://blog.csdn.net/tlaff/article/details/19619911

关于tcpdump的抓包命令,我也有另一篇博客来单独介绍:http://blog.csdn.net/tlaff/article/details/19624171

现在介绍一下snoop的常用选项:

snoop命令举例:snoop -d e1000g1 -o gtpc.pcap dst port 12341

Snoop 是Solaris 系统中自带的工具, 是一个用于显示网络通讯的程序, 它可捕获IP 包并将其显示或保存到指定文件. (限超级用户使用snoop)Snoop 可将捕获的包以一行的形式加以总结或用多行加以详细的描述(有调用不同的参数-v -V来实现). 在总结方式下(-V ) , 将仅显示最高层的相关协议, 例如一个NFS 包将仅显示NFS 信息, 其低层的RPC, UDP, IP, Ethernet 帧信息将不会显示, 但是当加上相应的参数(-v ), 这些信息都能被显示出来.
参数简介:

-P 不使用混杂模式,只能获取广播包和到本地主机的数据包

-c [maxCount] 记录最大包数,超过则自动停止

-d [dev] 接受包的设备名(网络接口)

-i [filename] 从文件输入(从一个以前的记录文件而不是网络设备中输入)

-p first[,last] 当从文件输入时,只显示从first指定到last的包

-o [filename] 保存所有数据包输出到文件,格式为RFC 1761-compliant

-q 当记录到文件时,使用安静模式,不回显数据

-N 解析IP地址到主机名(默认使用/etc/hosts作为解析列表)

-r 不解析主机名

-n 指定解析主机名所用的列表文件

-v 冗余模式,显示详细的数据包信息

除了命令选项以外,snoop还允许通过filter expression过滤模式来对数据包进行析取,以进行更精确的数据抓取和分析。snoop中expr的格式与Tcpdump基本兼容。

地址

host [hostname] 指定主机名,snoop将只获取此主机(源和目标)的数据包

from 或 src 指定源地址,后面必须跟host或ipaddr指令,将只获取以此地址为源的数据

to 或 dst 指定目标地址,后面必须跟host或ipaddr指令,将只获取以此地址为目的的数据

ipaddr 指定IP地址,功能同host

atalkaddr 指定appletalk地址,适用于appletalk协议

etheraddr 指定以太网MAC地址,适用于Ethernet协议

net [net] 指定网络地址,将抓取指定目标网络的数据

port [port] 指定TCP|UDP端口号,将只抓取指定端口的数据,适用于TCP|UDP协议

也可以根据/etc/services文件中指定的协议名字使用字符串

gateway [hostname|IP] 指定网关地址,将只抓取发送到指定网关的数据协议

inet 指定抓取IPV4协议

inet6 指定抓取IPV6协议

ethertype 抓取指定的Ethernet协议

ip, ip6, arp, rarp, pppoed, pppoes

udp, tcp, icmp, icmp6, ah, esp

分别指定以上类型的协议

pppoe PPPOE协议

broadcast 广播协议

multicast 多播协议

bootp, dhcp bootp和dhcp协议

apple applenet协议

decnet decnet协议

rpc prog [ , vers [ , proc ] ] 对应类型的RPC协议数据

ldap ldap协议

slp slp协议

sctp sctp协议

ospf ospf协议

类型

nofrag 不抓取分片数据包

此外,ether,ip,udp等协议关键字,都可以通过指定对应标志位的方式进行更详细的控制,例如使用ip[0]指定某一个位的标志。

操作符

在snoop过滤表达式中同样可以使用逻辑表达式来进行控制,对应的功能则与c,perl等语言中的类似。

and 与

or 或 , 或

not or ! 非

例如:

ipaddr 10.1.1.1 and port 23 抓取10.0.0.1:23的数据

host a or host b 抓取主机a和b的数据

not ipaddr 192.168.0.2 不抓取192.168.0.2的数据

指定 网络接口:/dev/pcn0 , 目标主机: Katty, 目标端口: TCP 23

这将只抓取到Katty的Telnet登录请求,以及所执行的命令。

Chaosreader是一个Snoop数据输出的分析工具,完全Perl写成,因此可以运行在所有支持Perl的操作系统上。Chaosreader能够支持对TCP/UDP/HTTP/FTP...等等一系列协议的跟踪和Session解析,甚至能够解析出ftp和http传输的文件,跟踪X-window的动作,对Telnet的数据进行回放等等。有了Chaosreader,就相当于在Snoop之上加了一双明亮的眼睛,非常方便。

Chaosreader支持有Tcpdump、snoop和Ethereal输出的数据包记录文件,自动解析之后会生成一系列文件,包含HTML格式的数据输出文件,协议传输中的图形附件,以及一些用于进行协议回放的perl脚本。

要使用Chaosreader,有下面几种快捷方法:

tcpdump -w outfile

snoop -o outfile

ethereal (或tethereal)保存cap数据

之后,适用chaosreader.pl outfile对文件进行分析处理,完成后即可在当前目录下生成一系列输出文件,可以使用任何一个Web浏览器打开index.html进行查看。

如果直接执行 chaosreader -s 5; netscape index.html ,那么chaosreader将自动运行当前系统中可用的sniffer类程序(自动搜索snoop或tcpdump),然后生成分析文件。

-s参数指定一定时间的抓取时间,以分钟为单位。

packet captuer tool: snoop相关推荐

  1. Solaris 系统中的snoop命令详解

    原文地址:http://blog.51cto.com/candon123/153254 Snoop 是Solaris 系统中自带的工具, 是一个用于显示网络通讯的程序, 它可捕获IP 包并将其显示或保 ...

  2. BlackArch-Tools

    BlackArch-Tools 简介安装在ArchLinux之上添加存储库从blackarch存储库安装工具替代安装方法BlackArch Linux Complete Tools List 简介 B ...

  3. 【译】Linux系统和性能监控(2)

    原文Linux System and Performance Monitoring,作者Darren Hoch. 转载自:http://www.708luo.com/?p=39 2.0 安装监控工具 ...

  4. lcx源代码以及免杀的研究

    ========================================================================== 先转载一下别人的文章,后面有我的分析 ====== ...

  5. fiddler--HTTP协议调试工具

    一.介绍 Fiddler是一个http协议调试工具,能记录并检查电脑和互联网之间的http通讯,设置断点,查看所有的"进出"fiddler的数据(cookie,html,js,cs ...

  6. Tips: Disk Performance On FreeBSD

    http://www.tagidea.com/reader/SA_Notes Disk I/O 读写性能: [9:42am] ~#diskinfo -c /dev/mfid0 /dev/mfid0 5 ...

  7. linux系统和性能监控之cpu篇,Linux系统和性能监控之CPU篇

    1.0 性能监控介绍 性能优化就是找到系统处理中的瓶颈以及去除这些的过程,多数管理员相信看一些相关的"cook book"就可以实现性能优化,通常通过对内核的一些配置是可以简单的解 ...

  8. 一文带你了解什么是云计算网络运维工程师,以及2023年的就业前景

    作者简介:一名在校云计算网络运维学生.每天分享网络运维的学习经验.和学习笔记.   座右铭:低头赶路,敬事如仪 个人主页:网络豆的主页​​​​​​ 目录 前言 一.云计算网络运维工程师是做什么的? 二 ...

  9. Arch-base-vs-iso

    Arch-base-vs-iso 通常绝大多数的Linux分发版的iso镜像本身(*.iso文件都有约2Gb上下)都可以直接启动电脑并运行完整的Linux桌面系统. 极少数的Linux发行版仅提供命令 ...

  10. 【计算机网络】笔记及考点

    据说的考点 35分选择 实验的静态路由 Ethernet 13 动态路由OSPF实际操作 32 TCP相关原理 20 记住一些关键的数值 1 INTRODUCTION TCP/IP (1)应用层:TE ...

最新文章

  1. 《富爸爸 辞职创业前的10堂课》文摘
  2. python脚本变成exe_Python脚本转exe文件
  3. [CTO札记]SNS蜂巢模型,及其在内容型网站的应用型态
  4. Redis的几个认识误区
  5. linux系统下tar/gz/7z/xz/bz2/zip等各种格式的打包压缩解压
  6. 用jsp的mvc模式的新闻发布系统_【利元亨 | 新品】柯马智能柔性激光焊接站震撼发布...
  7. 如何解决chm类型的文件在Windows操作系统中无法打开
  8. 面试题:return和finally执行
  9. 创意书签名字_给书签作品起名字-给书签起名字
  10. Spire.pdf-使用学习记录
  11. Wi-Fi连接握手包抓包
  12. 程序员的职业危机是什么?一个12年互联网人的4点思考
  13. 曝一段十多年前的“情史”!
  14. Java Swing写的支持合并单元格的JTable
  15. nodejs中https和ca证书
  16. 指定window.print 打印区域
  17. 鼠标滚轮调音量_使用滚轮鼠标轻松控制计算机音量
  18. SQL渗透与防御——(三)SQL盲注
  19. 工具推荐——分区助手
  20. window onload

热门文章

  1. 启用了被称为 HTTP 严格传输安全(HSTS)的安全策略,Firefox 只能与其建立安全连接
  2. 宾州州立大学帕克分校计算机科学,宾州州立大学帕克分校排名一览
  3. 一次追踪h5游戏中google广告的经历
  4. ARM 开发板的选型支持
  5. 前端笔记05 - js
  6. Windows10使用屏幕键盘
  7. 一起学爬虫(Python) — 23 自动化详解2
  8. java中dl列表_Java DLFolder.getFolderId方法代码示例
  9. 明日立秋!秋季宝宝如何养肺?立秋养肺小妙招
  10. 如何翻转视频,一键将多个视频垂直翻转播放