天融信防火墙自带的tcpdump使用

2012-05-03 · 网络分析 · 网络安全 · 26278 次阅读

1、仅在老4k系统和TOS中的.1平台和.8平台（猎豹）支持TCPDUMP命令；

2、老4k系统直接在串口登陆界面下或telnet到防火墙界面下，即可使用tcpdump命令；TOS中的.1平台和.8平台在串口登陆或telnet登陆后，先敲system回车，进入系统目录才可以使用tcpdump命令。

3、其他的参数参见linux的《tcpdump的使用手册》。

4、使用例子：

例1：在eth1口抓包，只显示地址为10.1.1.1和icmp协议的报文。

Tcpdump –i eth1 host 10.1.1.1 and icmp

例2：在所有的接口抓包，不显示4000端口的管理报文，和23端口的telnet报文。

Tcpdump –i any not port 4000 and not port 23 （在同时管理的时候很实用）

例3：在eth1口抓包，显示地址为211.1.1.1或10.1.1.1的报文。

Tcpdump –i eth1 host 211.1.1.1 or host 10.1.1.1 （针对MAP前后的地址同时抓包定位时非常实用）

例4：在所有的接口抓包，显示地址为10.1.1.1报文。

Tcpdump |grep host 10.1.1.1 （在adls环境中非常实用，封装了PPPOE的报文也能抓到，但是TOS不支持grep的参数了）

在tos系统中，X86的平台下才有抓包的工具，－n表示不需要域名解析，加快抓包的速度。

并且-evv比老的4k系统中，能抓到更多的信息，其中还包括校验和。

例5：System tcpdump –i any –evv -n （TOS系统中最后必须加-n的参数，才能保证抓包的速度）

例6：System tcpdump –i ipsec0 -n （TOS支持在ipsec0中抓包，来判断数据流是否进入隧道）

例7：System tcpdump –i ppp0 -n （TOS支持在ppp0中抓包，来判断数据流是否进入PPPoE的封装）