tcpdump 参数说明

tcpdump 是一款常用的网络抓包工具，它可以捕获网络数据包并进行分析。tcpdump 的参数非常多，下面是一些常用的参数说明：

• -i：指定要监听的网络接口，如 -i eth0。 any
• -n：禁用地址解析，显示 IP 地址而非主机名。
• -nn：不进行端口号和协议名称的解析，显示IP地址和端口号。
• -nnn：不进行地址和端口号解析，显示IP地址和端口号。
• -s：指定要捕获的数据包大小，如 -s 1000。
• -v：显示详细的输出信息，如协议头部信息。
• -X：显示十六进制和 ASCII 码的数据包内容。
• -c：指定捕获的数据包数量，如 -c 100。
• -w：将捕获的数据包写入文件，如 -w capture.pcap。
• -r：从指定文件读取数据包进行分析，如 -r capture.pcap。
• host：只捕获与指定主机相关的数据包，如 host 192.168.1.1。
• port：只捕获与指定端口相关的数据包，如 port 80。
• tcp：只捕获 TCP 协议相关的数据包，如 tcp port 80。
• udp：只捕获 UDP 协议相关的数据包，如 udp port 53。

这些参数可以组合使用，以实现更精确的数据包捕获和分析。

示例

tcpdump是一款常用的网络抓包工具，可以捕获TCP/IP数据包并进行分析。以下是tcpdump的常用用法：

1. 抓取所有数据包：

sudo tcpdump -i ens33

2. 指定抓取的协议：

sudo tcpdump -i ens33 tcp

3. 指定抓取的端口：

sudo tcpdump -i ens33 port 80

4. 抓取指定IP地址的数据包：

sudo tcpdump -i ens33 host 192.168.1.1

5. 抓取指定源或目的IP地址的数据包：

sudo tcpdump -i ens33 src 192.168.1.1
sudo tcpdump -i ens33 dst 192.168.1.1

6. 指定抓取的数据包数量：

sudo tcpdump -i ens33 -c 10

7. 将抓取的数据包保存到文件中：

sudo tcpdump -i ens33 -w capture.pcap

8. 读取保存在文件中的数据包：

sudo tcpdump -r capture.pcap

9. 显示抓取的数据包的详细信息：

sudo tcpdump -i ens33 -v

10. 显示抓取的数据包的十六进制数据：

sudo tcpdump -i ens33 -x

以上是tcpdump的基本用法，更多用法可以通过man tcpdump命令查看。

arp and arp[6:2] == 2

这是一个tcpdump的过滤规则，用于捕获ARP数据包中操作码为2（即ARP响应）的数据包。下面对过滤规则进行解释：

• arp：指定要捕获的数据包类型为ARP数据包。
• and：逻辑运算符，用于连接两个过滤规则。
• arp[6:2]：指定捕获的ARP数据包中，从第6个字节开始的2个字节，即ARP数据包中的操作码字段。操作码字段共2个字节，第6个字节为高位字节，第7个字节为低位字节。
• ==：比较运算符，用于比较两个值是否相等。
• 2：指定要捕获的ARP数据包中操作码为2，即ARP响应。

因此，这个过滤规则可以捕获所有操作码为2的ARP响应数据包。

arping

arping是一种用于测试本地局域网的ARP协议的工具，可用于查找IP地址和MAC地址之间的映射关系。以下是arping的常用用法：

1. 发送ARP请求：

sudo arping -c 5 192.168.1.1

2. 指定网卡接口：

sudo arping -c 5 -I eth0 192.168.1.1

3. 指定发送ARP请求的源IP地址：

sudo arping -c 5 -S 192.168.1.2 192.168.1.1

4. 指定发送ARP请求的源MAC地址：

sudo arping -c 5 -s 00:11:22:33:44:55 192.168.1.1

5. 使用广播地址发送ARP请求：

sudo arping -c 5 -U 192.168.1.1

6. 指定发送ARP请求的间隔时间：

sudo arping -c 5 -w 1 192.168.1.1

7. 显示详细的ARP请求和响应信息：

sudo arping -c 5 -v 192.168.1.1

8. 在后台运行arping：

sudo arping -c 5 -f 192.168.1.1

以上是arping的基本用法，更多用法可以通过man arping命令查看。

nsenter

nsenter -n -t <pid> bash

nsenter是Linux中的命令行实用工具，允许用户进入特定的命名空间。命名空间是Linux内核中的一个功能，允许创建隔离的环境，例如网络、挂载、进程和用户命名空间。使用nsenter，用户可以访问运行进程的命名空间，并在该命名空间内执行操作。这可以用于调试、故障排除或管理系统资源，而不影响其他进程或命名空间。使用nsenter的语法如下：

nsenter [选项] [命令]

一些常见的选项包括：

• -t，–target: 指定目标命名空间的进程ID或容器ID；
• -m，–mount: 进入挂载命名空间；
• -n，–net: 进入网络命名空间；
• -p，–pid: 进入进程命名空间；

例如，要进入进程ID为1234的进程的网络命名空间，并运行一个命令，可以使用以下命令：