天融信防火墙自带的tcpdump使用

天融信防火墙自带的tcpdump使用

作者：易隐者 发布于：2012-5-3 15:46 Thursday 分类：网络安全

1、仅在老4k系统和TOS中的.1平台和.8平台（猎豹）支持TCPDUMP命令；

2、老4k系统直接在串口登陆界面下或telnet到防火墙界面下，即可使用tcpdump命令；TOS中的.1平台和.8平台在串口登陆或telnet登陆后，先敲system回车，进入系统目录才可以使用tcpdump命令。

3、其他的参数参见linux的《tcpdump的使用手册》。

4、使用例子：

例1：在eth1口抓包，只显示地址为10.1.1.1和icmp协议的报文。

Tcpdump �Ci eth1 host 10.1.1.1 and icmp

例2：在所有的接口抓包，不显示4000端口的管理报文，和23端口的telnet报文。

Tcpdump �Ci any  not port 4000 and not port 23  （在同时管理的时候很实用）

例3：在eth1口抓包，显示地址为211.1.1.1或10.1.1.1的报文。

Tcpdump �Ci eth1 host 211.1.1.1 or host 10.1.1.1  （针对MAP前后的地址同时抓包定位时非常实用）

例4：在所有的接口抓包，显示地址为10.1.1.1报文。

Tcpdump |grep host 10.1.1.1     （在adls环境中非常实用，封装了PPPOE的报文也能抓到，但是TOS不支持grep的参数了）

在tos系统中，X86的平台下才有抓包的工具，－n表示不需要域名解析，加快抓包的速度。

并且-evv比老的4k系统中，能抓到更多的信息，其中还包括校验和。

例5：System tcpdump �Ci any �Cevv -n （TOS系统中最后必须加-n的参数，才能保证抓包的速度）

例6：System tcpdump �Ci ipsec0  -n  （TOS支持在ipsec0中抓包，来判断数据流是否进入隧道）

例7：System tcpdump �Ci ppp0  -n  （TOS支持在ppp0中抓包，来判断数据流是否进入PPPoE的封装）