- 論壇徽章:
- 0
|
1. 監(jiān)聽所有以本機(jī)為源與目的的包并將其顯示出來.
2. 監(jiān)聽所有以主機(jī)a為源與目的的包并將其顯示出來. ( a為主機(jī)名, 下同)
# snoop a
3. 監(jiān)聽所有a與b之間的包并將其保存到文件file.
# snoop -o file a b
4. 顯示文件file 中指定的包(99-108)
# snoop - i file -p 99,108
5. 詳細(xì)查看文件file 中第101 個(gè)包:
# snoop - i file - v -p 101
6. 查看主機(jī)a與主機(jī)b之間的nfs 包(命令中的and 與or 為相應(yīng)的邏輯運(yùn)
算)
# snoop - i file rpc nfs and a and b
7. 將這些符合條件的包保存到另一文件file2 中:
# snoop - i file -o file2 rpc nfs a b
8. 監(jiān)聽主機(jī)a與主機(jī)b間所有tcp 80 端口或udp80端口的包
# snoop a and b and (tcp or udp) and port 80
9. 監(jiān)聽所有的廣播包
# snoop broadcast
10. 監(jiān)聽所有的多播包, 并顯示詳細(xì)內(nèi)容.
#snoop –v multicast
11.監(jiān)聽所有的ntp 協(xié)議包
# snoop |grep – i ntp
相關(guān)參數(shù)
-P 不使用混雜模式�,只能獲取廣播包和到本地主機(jī)的數(shù)據(jù)包
-c [maxCount] 記錄最大包數(shù),超過則自動(dòng)停止
-d [dev] 接受包的設(shè)備名(網(wǎng)絡(luò)接口)
-i [filename] 從文件輸入(從一個(gè)以前的記錄文件而不是網(wǎng)絡(luò)設(shè)備中輸入)
-p first[,last] 當(dāng)從文件輸入時(shí),只顯示從first指定到last的包
-o [filename] 保存所有數(shù)據(jù)包輸出到文件�����,格式為RFC 1761-compliant
-q 當(dāng)記錄到文件時(shí)���,使用安靜模式����,不回顯數(shù)據(jù)
-N 解析IP地址到主機(jī)名(默認(rèn)使用/etc/hosts作為解析列表)
-r 不解析主機(jī)名
-n 指定解析主機(jī)名所用的列表文件
-v 冗余模式����,顯示詳細(xì)的數(shù)據(jù)包信息
除了命令選項(xiàng)以外,snoop還允許通過filter expression過濾模式來對數(shù)據(jù)包進(jìn)行析取�,以
進(jìn)行更精確的數(shù)據(jù)抓取和分析����。snoop中expr的格式與Tcpdump基本兼容��。
地址
host [hostname] 指定主機(jī)名���,snoop將只獲取此主機(jī)(源和目標(biāo))的數(shù)據(jù)包
from 或 src 指定源地址�����,后面必須跟host或ipaddr指令��,將只獲取以此地址為源的
數(shù)據(jù)
to 或 dst 指定目標(biāo)地址���,后面必須跟host或ipaddr指令,將只獲取以此地址為目
的的數(shù)據(jù)
ipaddr 指定IP地址����,功能同host
atalkaddr 指定appletalk地址,適用于appletalk協(xié)議
etheraddr 指定以太網(wǎng)MAC地址���,適用于Ethernet協(xié)議
net [net] 指定網(wǎng)絡(luò)地址,將抓取指定目標(biāo)網(wǎng)絡(luò)的數(shù)據(jù)
port [port] 指定TCP|UDP端口號(hào)����,將只抓取指定端口的數(shù)據(jù)���,適用于TCP|UDP協(xié)議
也可以根據(jù)/etc/services文件中指定的協(xié)議名字使用字符串
gateway [hostname|IP] 指定網(wǎng)關(guān)地址,將只抓取發(fā)送到指定網(wǎng)關(guān)的數(shù)據(jù)
協(xié)議
inet 指定抓取IPV4協(xié)議
inet6 指定抓取IPV6協(xié)議
ethertype 抓取指定的Ethernet協(xié)議
ip, ip6, arp, rarp, pppoed, pppoes
udp, tcp, icmp, icmp6, ah, esp
分別指定以上類型的協(xié)議
pppoe PPPOE協(xié)議
broadcast 廣播協(xié)議
multicast 多播協(xié)議
bootp, dhcp bootp和dhcp協(xié)議
apple applenet協(xié)議
decnet decnet協(xié)議
rpc prog [ , vers [ , proc ] ] 對應(yīng)類型的RPC協(xié)議數(shù)據(jù)
ldap ldap協(xié)議
slp slp協(xié)議
sctp sctp協(xié)議
ospf ospf協(xié)議
類型
nofrag 不抓取分片數(shù)據(jù)包
此外�,ether,ip,udp等協(xié)議關(guān)鍵字,都可以通過指定對應(yīng)標(biāo)志位的方式進(jìn)行更
詳細(xì)的控制���,例如使用ip[0]指定某一個(gè)位的標(biāo)志���。
操作符
在snoop過濾表達(dá)式中同樣可以使用邏輯表達(dá)式來進(jìn)行控制,對應(yīng)的功能則與c,perl等
語言中的類似���。
and 與
or 或 , 或
not or ! 非
例如:
ipaddr 10.1.1.1 and port 23 抓取10.0.0.1:23的數(shù)據(jù)
host a or host b 抓取主機(jī)a和b的數(shù)據(jù)
not ipaddr 192.168.0.2 不抓取192.168.0.2的數(shù)據(jù)
指定 網(wǎng)絡(luò)接口:/dev/pcn0 , 目標(biāo)主機(jī): Katty, 目標(biāo)端口: TCP 23
這將只抓取到Katty的Telnet登錄請求����,以及所執(zhí)行的命令�。
本文來自ChinaUnix博客,如果查看原文請點(diǎn):http://blog.chinaunix.net/u3/100752/showart_1993530.html |
|
免費(fèi)注冊
發(fā)表于 2009-07-11 22:41
