1、经典的协议和数据包

经典的协议和数据包

TPC经典协议和数据包

  Head        Head         Head         Data
<-------->  <-------->  <-------->    <-------->
以太网标头   IP标头       TCP标头     应用层数据包
                             应用头部  用户数据
                             |                |
                    TCP首部       应用数据
                    <----------TCP段-------------->
            IP首部  TCP首部       应用数据
            <-------------IP数据包---------------->
以太网首部 IP首部   TCP首部       应用数据          以太网尾部
  18       20-60     20
<-----------------------以太网帧------------------------------>
          <--------------最大1500字节------------->
应用程序
   |
  TCP
   |
   IP
   |
 物理层

TCPDUMP使用

tcpdump的选项介绍:
-a    将网络地址和广播地址转变成名字;
-d    将匹配信息包的代码以人们能够理解的汇编格式给出;
-dd    将匹配信息包的代码以c语言程序段的格式给出;
-ddd    将匹配信息包的代码以十进制的形式给出;
-e    在输出行打印出数据链路层的头部信息;
-f    将外部的Internet地址以数字的形式打印出来;
-l    使标准输出变为缓冲行形式;
-n    不把网络地址转换成名字;
-t    在输出的每一行不打印时间戳;
-v    输出一个稍微详细的信息,例如在ip包中可以包括ttl和服务类型的信息;
-vv    输出详细的报文信息;
-c    在收到指定的包的数目后,tcpdump就会停止;
-F    从指定的文件中读取表达式,忽略其它的表达式;
-i    指定监听的网络接口;
-r    从指定的文件中读取包(这些包一般通过-w选项产生);
-w    直接将包写入文件中,并不分析和打印出来;
-T    将监听到的包直接解释为指定的类型的报文,常见的类型有rpc (远程过程 调用)和snmp(简单       网络管理协议;)
-s      设置抓包大小限制,默认抓包大小限制在96个BYTE(包括以太网帧)。修改参数为:-s 0。0 则忽略包的大小限制,按包的长度实际长度抓取。
tcpdump -vv tcp port 5270 -c 100 -s 1500 -w /opt/sniffer.pack

ubuntu下tcpdump报错:Permission denied
解决方案如下:
先查看当前的tcpdump的模式:
grep tcpdump /sys/kernel/security/apparmor/profiles
/usr/sbin/tcpdump (enforce)
上面显示是enforce模式,所以有这个问题,把它改成complain模式:
aa-complain /usr/sbin/tcpdump                        ------ This will change it to complain
再次使用tcpdump 并写文件的时候就没问题了。
想在转换成enforce模式时:
aa-enforce /usr/sbin/tcpdump             ----- This will renable the AppArmor profile for tcpdump

你可能感兴趣的:(1、经典的协议和数据包)