SA299學習筆記 第一章 描述介面配置(2)

什麼是ICMP ECHO_REQUEST：

發出ICMP ECHO_REQUEST 包到網路主機的目的是來檢視網路是否通暢。

ICMP協議

ICMP被認為是IP層的一個組成部分，主要功能有查詢報文和差錯報文。下面各種情況都不會導致產生ICMP差錯報文：⑴ ICMP差錯報文（ICMP查詢報文可能會產生ICMP差錯報文）⑵ 目的地址是廣播地址或多播地址的IP資料包⑶ 作為鏈路層廣播的資料包⑷ 不是IP分片的第一片⑸ 源地址不是單個主機的資料包。ICMP埠不可達差錯ICMP不可達報文的一般格式： 可用UDP來檢視ICMP埠不可達報文（3，3）：UDP的規則之一是，如果收到一份UDP資料包而目的埠與某個正在使用的程式不相符，那麼UDP將返回一個ICMP不可達報文。

# ping 192.168.0.10

192.168.0.10 is alive

# ping unix

unix is alive

# snoop -o cap1 -P

-P表示處在非混雜模式抓資料，只抓廣播、主播、目的為本機的資料

Using device /dev/pcn0 ([color=Blue]non promiscuous[/color])

15 ^C 15的含義是：顯示目前抓了多少個資料流

#

snoop的詳細引數

Snoop 是Solaris 系統中自帶的工具， 是一個用於顯示網路通訊的程式， 它可捕獲IP 包並將其顯示或儲存到指定檔案. (限超級使用者使用snoop) Snoop 可將捕獲的包以一行的形式加以總結或用多行加以詳細的描述(有呼叫不同的引數–v -V來實現). 在總結方式下(-V ) , 將僅顯示最高層的相關協議, 例如一個NFS 包將僅顯示NFS 資訊, 其低層的RPC, UDP, IP, Ethernet 幀資訊將不會顯示, 但是當加上相應的引數(-v ), 這些資訊都能被顯示出來.

-C

-D

-N

-P 在非混雜模式下抓包

-S 抓包的時候顯示資料包的大小

-V 半詳細的顯示抓的資料的資訊

-t [ r | a | d ] 顯示時間戳，-ta顯示當前系統時間，精確到毫秒

-v 最詳細的顯示資料的資訊

-x offset [ , length] 以16進位制或ACSII方式顯示某資料的部分內容，比如 -x 0,10 只顯示0-10位元組

#snoop -i cap1 -v -x 0 -p101 檢視被抓獲的第101個資料流的全部內容

根據地址：

#snoop x.x.x.x IPV4的IP

#snoop 0XX:XX:XX:XX ETHERNET的MAC地址

資料的方向：

from x.x.x.x 或者 src x.x.x.x

to x.x.x.x 或者 dst x.x.x.x

可用的資料型別的關鍵詞：

ip, ip6, arp, rarp, pppoed, pppoes，pppoe，broadcast，multicast，apple，decnet

udp, tcp, icmp, icmp6, ah, esp

greater length

True if the packet is longer than length.

less length

True if the packet is shorter than length.

net net

# snoop from net 192.168.1.0 抓來自192.168.1.0/24的資料

# snoop from net 192.168.0.0 抓來自192.168.0.0/16的資料

port xx XX為TCP或者UDP的埠號或者 /etc/services裡定義的名字

#snoop to udp and port 53 抓到UDP53的資料