tcpdump 参数说明
tcpdump 是一款常用的网络抓包工具,它可以捕获网络数据包并进行分析。tcpdump 的参数非常多,下面是一些常用的参数说明:
- -i:指定要监听的网络接口,如 -i eth0。 any
- -n:禁用地址解析,显示 IP 地址而非主机名。
- -nn:不进行端口号和协议名称的解析,显示IP地址和端口号。
- -nnn:不进行地址和端口号解析,显示IP地址和端口号。
- -s:指定要捕获的数据包大小,如 -s 1000。
- -v:显示详细的输出信息,如协议头部信息。
- -X:显示十六进制和 ASCII 码的数据包内容。
- -c:指定捕获的数据包数量,如 -c 100。
- -w:将捕获的数据包写入文件,如 -w capture.pcap。
- -r:从指定文件读取数据包进行分析,如 -r capture.pcap。
- host:只捕获与指定主机相关的数据包,如 host 192.168.1.1。
- port:只捕获与指定端口相关的数据包,如 port 80。
- tcp:只捕获 TCP 协议相关的数据包,如 tcp port 80。
- udp:只捕获 UDP 协议相关的数据包,如 udp port 53。
这些参数可以组合使用,以实现更精确的数据包捕获和分析。
示例
tcpdump是一款常用的网络抓包工具,可以捕获TCP/IP数据包并进行分析。以下是tcpdump的常用用法:
- 抓取所有数据包:
sudo tcpdump -i ens33
- 指定抓取的协议:
sudo tcpdump -i ens33 tcp
- 指定抓取的端口:
sudo tcpdump -i ens33 port 80
- 抓取指定IP地址的数据包:
sudo tcpdump -i ens33 host 192.168.1.1
- 抓取指定源或目的IP地址的数据包:
sudo tcpdump -i ens33 src 192.168.1.1
sudo tcpdump -i ens33 dst 192.168.1.1
- 指定抓取的数据包数量:
sudo tcpdump -i ens33 -c 10
- 将抓取的数据包保存到文件中:
sudo tcpdump -i ens33 -w capture.pcap
- 读取保存在文件中的数据包:
sudo tcpdump -r capture.pcap
- 显示抓取的数据包的详细信息:
sudo tcpdump -i ens33 -v
- 显示抓取的数据包的十六进制数据:
sudo tcpdump -i ens33 -x
以上是tcpdump的基本用法,更多用法可以通过man tcpdump命令查看。
arp and arp[6:2] == 2
这是一个tcpdump的过滤规则,用于捕获ARP数据包中操作码为2(即ARP响应)的数据包。下面对过滤规则进行解释:
- arp:指定要捕获的数据包类型为ARP数据包。
- and:逻辑运算符,用于连接两个过滤规则。
- arp[6:2]:指定捕获的ARP数据包中,从第6个字节开始的2个字节,即ARP数据包中的操作码字段。操作码字段共2个字节,第6个字节为高位字节,第7个字节为低位字节。
- ==:比较运算符,用于比较两个值是否相等。
- 2:指定要捕获的ARP数据包中操作码为2,即ARP响应。
因此,这个过滤规则可以捕获所有操作码为2的ARP响应数据包。
arp -a
要查找MAC地址对应的IP地址,你可以使用以下方法之一:
方法一:使用ARP命令(适用于本地网络)
-
打开命令提示符或终端窗口。
-
输入以下命令,并按回车键执行:
arp -a这将显示本地网络中所有已知设备的MAC地址和IP地址的列表。
-
在列表中找到你感兴趣的MAC地址,并查看相应的IP地址。
》》》
删掉对应IP缓存
arp -d ip
方法二:使用路由器管理界面
如果你有访问路由器管理界面的权限,可以通过以下步骤查找MAC地址对应的IP地址:
- 打开一个支持Web浏览器的设备,并连接到与你的局域网(LAN)相同的网络。
- 在浏览器地址栏输入路由器的默认IP地址(通常是192.168.0.1或192.168.1.1),然后按回车键。
- 输入正确的用户名和密码以登录路由器管理界面。如果你不确定这些信息,请查阅路由器的用户手册或联系网络管理员。
- 查找类似“设备列表”、“连接设备”或“DHCP分配”等选项。这个选项通常会显示已连接到路由器的设备列表,包括它们的MAC地址和IP地址。
- 在设备列表中找到你感兴趣的MAC地址,并查看相应的IP地址。
以上方法可帮助你在本地网络中查找MAC地址对应的IP地址。如果你需要在更大的网络范围内进行查找,可能需要使用专业的网络管理工具或咨询网络管理员。
arping
通过发送ARP协议报文测试网络
arping是一种用于测试本地局域网的ARP协议的工具,可用于查找IP地址和MAC地址之间的映射关系。以下是arping的常用用法:
- 发送ARP请求:
sudo arping -c 5 192.168.1.1
- 指定网卡接口:
sudo arping -c 5 -I eth0 192.168.1.1
- 指定发送ARP请求的源IP地址:
sudo arping -c 5 -S 192.168.1.2 192.168.1.1
- 指定发送ARP请求的源MAC地址:
sudo arping -c 5 -s 00:11:22:33:44:55 192.168.1.1
- 使用广播地址发送ARP请求:
sudo arping -c 5 -U 192.168.1.1
- 指定发送ARP请求的间隔时间:
sudo arping -c 5 -w 1 192.168.1.1
- 显示详细的ARP请求和响应信息:
sudo arping -c 5 -v 192.168.1.1
- 在后台运行arping:
sudo arping -c 5 -f 192.168.1.1
以上是arping的基本用法,更多用法可以通过man arping命令查看。
nsenter
nsenter -n -t <pid> bash
nsenter是Linux中的命令行实用工具,允许用户进入特定的命名空间。命名空间是Linux内核中的一个功能,允许创建隔离的环境,例如网络、挂载、进程和用户命名空间。使用nsenter,用户可以访问运行进程的命名空间,并在该命名空间内执行操作。这可以用于调试、故障排除或管理系统资源,而不影响其他进程或命名空间。使用nsenter的语法如下:
nsenter [选项] [命令]
一些常见的选项包括:文章来源:https://www.toymoban.com/news/detail-425336.html
- -t,–target: 指定目标命名空间的进程ID或容器ID;
- -m,–mount: 进入挂载命名空间;
- -n,–net: 进入网络命名空间;
- -p,–pid: 进入进程命名空间;
例如,要进入进程ID为1234的进程的网络命名空间,并运行一个命令,可以使用以下命令:文章来源地址https://www.toymoban.com/news/detail-425336.html
到了这里,关于tcpdump & arping & nsenter的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
