轉(zhuǎn)自:http://bbs.chinaunix.net/viewthread.php?tid=691982&extra=&page=1
snoop 抓包
solaris自帶snoop抓包工具,抓所有數(shù)據(jù)流
# snoop
Using device /dev/pcn0 (promiscuous mode)
192.168.8.18 -> 192.168.255.255
NBT NS Query Request for WORKGROUP[1c], Success
192.168.253.35 -> solaris
TELNET C port=1246
solaris -> 192.168.253.35 TELNET R port=1246 Using device /dev/pc
solaris -> 192.168.253.35 TELNET R port=1246 Using device /dev/pc
192.168.4.150 -> (broadcast)
ARP C Who is 192.168.4.200, 192.168.4.200 ?
192.168.4.200 -> (broadcast) ARP C Who is 192.168.4.150, 192.168.4.150 ?
#
抓源地址或目的為 202.101.98.55的數(shù)據(jù)流:
# snoop 202.101.98.55
Using device /dev/pcn0 (promiscuous mode)
192.168.253.35 -> dns.fz.fj.cn DNS C
www.163.com. Internet Addr ?
dns.fz.fj.cn -> 192.168.253.35 DNS R
www.163.com. Internet CNAME
www.cache.split.netease.com.
#
說(shuō)明:internet cname 后的為解析
www.163.com的名字時(shí),代表
www.163.com回答的主機(jī)的域名。
抓 192.168.253.35和202.101.98.55之間的數(shù)據(jù)流(雙向都抓)
# snoop 192.168.253.35 202.101.98.55
Using device /dev/pcn0 (promiscuous mode)
192.168.253.35 -> dns.fz.fj.cn DNS C
www.google.com. Internet Addr ?
dns.fz.fj.cn -> 192.168.253.35 DNS R
www.google.com. Internet CNAME
www.l.google.com.
#
抓完存在當(dāng)前目錄下的cap文件中并查看
# snoop -o cap1 -P -P表示處在非混雜模式抓數(shù)據(jù),只抓廣播、主播、目的為本機(jī)的數(shù)據(jù)
Using device /dev/pcn0 (
non promiscuous)
15 ^C 15的含義是:顯示目前抓了多少個(gè)數(shù)據(jù)流
#
# snoop -i cap1
1 0.00000 192.168.253.35 -> solaris TELNET C port=1246
2 0.18198 192.168.253.35 -> solaris TELNET C port=1246
3 0.37232 192.168.4.199 -> 192.168.255.255 NBT Datagram Service Type=17 Source=WB-200[20]
4 0.00016 ? -> (multicast) ETHER Type=EF08 (Unknown), size = 180bytes
5 0.62546 192.168.253.35 -> solaris TELNET C port=1246
6 0.13822 ? -> (multicast) ETHER Type=0000 (LLC/802.3), size = 52 bytes
7 0.06283 192.168.253.35 -> solaris TELNET C port=1246
8 0.90301 192.168.253.35 -> solaris TELNET C port=1246
9 0.19781 192.168.253.35 -> solaris TELNET C port=1246
10 0.81493 ? -> (multicast) ETHER Type=0000 (LLC/802.3), size = 52 bytes
11 0.07018 192.168.253.35 -> solaris TELNET C port=1246
12 0.19939 192.168.253.35 -> solaris TELNET C port=1246
13 0.90151 192.168.253.35 -> solaris TELNET C port=1246
14 0.18904 192.168.253.35 -> solaris TELNET C port=1246
15 0.68422 ? -> (multicast) ETHER Type=0000 (LLC/802.3), size = 52 bytes
#snoop -i cap1 -p 10,12 只看10-12條記錄
#snoop -i cap1 -p10 只看第10條記錄
# snoop -i cap1 -v -p101 查看第10條數(shù)據(jù)流的包頭的詳細(xì)內(nèi)容
#snoop -i cap1 -v -x 0 -p101 查看第10條數(shù)據(jù)流的全部的詳細(xì)內(nèi)容
抓主機(jī)192.168.253.35和202.101.98.55之間的tcp或者udp端口53的數(shù)據(jù)
# snoop 192.168.253.35 and 202.101.98.55 and \(tcp or udp\) and port 53
輸入(的時(shí)候要加轉(zhuǎn)義符號(hào)\
snoop的詳細(xì)參數(shù)
Snoop 是Solaris 系統(tǒng)中自帶的工具, 是一個(gè)用于顯示網(wǎng)絡(luò)通訊的程序, 它可捕獲IP 包并將其顯示或保存到指定文件. (限超級(jí)用戶使用snoop)
Snoop 可將捕獲的包以一行的形式加以總結(jié)或用多行加以詳細(xì)的描述(有調(diào)用不同的參數(shù)–v -V來(lái)實(shí)現(xiàn)). 在總結(jié)方式下(-V ) ,
將僅顯示最高層的相關(guān)協(xié)議, 例如一個(gè)NFS 包將僅顯示NFS 信息, 其低層的RPC, UDP, IP, Ethernet 幀信息將不會(huì)顯示,
但是當(dāng)加上相應(yīng)的參數(shù)(-v ), 這些信息都能被顯示出來(lái).
-C
-D
-N
-P 在非混雜模式下抓包
-S 抓包的時(shí)候顯示數(shù)據(jù)包的大小
-V 半詳細(xì)的顯示抓的數(shù)據(jù)的信息
-t [ r | a | d ] 顯示時(shí)間戳,-ta顯示當(dāng)前系統(tǒng)時(shí)間,精確到毫秒
-v 最詳細(xì)的顯示數(shù)據(jù)的信息
-x offset [ , length] 以16進(jìn)制或ACSII方式顯示某數(shù)據(jù)的部分內(nèi)容,比如 -x 0,10 只顯示0-10字節(jié)
#snoop -i cap1 -v -x 0 -p101 查看被抓獲的第101個(gè)數(shù)據(jù)流的全部?jī)?nèi)容
表達(dá)式:
根據(jù)地址:
#snoop x.x.x.x IPV4的IP
#snoop 0XX:XX:XX:XX ETHERNET的MAC地址
數(shù)據(jù)的方向:
from x.x.x.x 或者 src x.x.x.x
to x.x.x.x 或者 dst x.x.x.x
可用的數(shù)據(jù)類(lèi)型的關(guān)鍵詞:
ip, ip6, arp, rarp, pppoed, pppoes,pppoe,broadcast,multicast,apple,decnet
udp, tcp, icmp, icmp6, ah, esp
greater length
True if the packet is longer than length.
less length
True if the packet is shorter than length.
net net
# snoop from net 192.168.1.0 抓來(lái)自192.168.1.0/24的數(shù)據(jù)
# snoop from net 192.168.0.0 抓來(lái)自192.168.0.0/16的數(shù)據(jù)
port xx XX為T(mén)CP或者UDP的端口號(hào)或者 /etc/services里定義的名字
#snoop to udp and port 53 抓到UDP53的數(shù)據(jù)