TCPDUMP

Can anyone guide me in converting the KDD 99 dataset,consisting of ip packets in the following format to TCP dump format? 0,udp,private,SF,105,146,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,1,1,0.00,0.00,0.00,0.00,1.00,0.00,0.00,255,254,1.00,0.01,0.00,0.00,0.00,0.00,0.00,0.00,normal. 0,udp,private,SF,105,146,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,1,1,0.00,0.00,0.00,0.00,1.00,0.00,0.00,255,254,1.00,0.01,0.00,0.00,0.00,0.00,0.00,0.00,normal. 0,udp,private,SF,105,146,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,1,1,0.00,0.00,0.00,0.00,1.00,0.00,0.00,255,254,1.00,0.01,0.00,0.00,0.00,0.00,0.00,0.00,normal. From the KDD99

10.6 监控io性能 10.7 free命令 10.8 ps命令 10.9 查看网络状态 扩展tcp三次握手四次挥手 http://www.doc88.com/p-9913773324388.html 三次握手要查看，面试会被问到 tshark几个用法：http://www.aminglinux.com/bbs/thread-995-1-1.html 10.10 linux下抓包 10.6 监控io性能： 如果我们cpu和内存明明还有剩余，但是系统就是负载很高。用vmstat的查看发现b列或者wa列比较大。那是不是说明我们磁盘有瓶颈，那我们就要更详细的查看磁盘的状态 我们在安装sysstat的时候，就会安装上iostat这个命令。instat和sar属于同一个包 我们直接敲iostat就可以查看，或者敲instat 1（iostat 1 10）来查看读写，跟sar -b的结果差不多 我们需要掌握的是： ~1. iostat -x 1 主要查看 %util。他首先是一个百分比。 &util这一列表示你的io 等待，总之就是你这个磁盘使用有多少时间，就是说占用cpu的。那么我们这个cpu有一部分是给进程处理的、计算的。那也有一部分时间是要等待io的，等待磁盘读写，要把这个数据读出来，数据的读写也要等待的吧。那么这个时间比是多少。就是我等待你的时间比是多少，就是%util

不看别人的是不会装的，装过就忘了，所以记在这里 1、首先安装或者升级glibc 2.17 CentOS 6.x 如何升级 glibc 2.17 2、然后安装flex yum -y install flex 3、然后安装bison yum -y install bison 4、安装完成后验证 你可以看其他人的方法，直接编写c，还有一个简单方法，再安装tcpdump yum -y install tcpdump 安装完成后，使用如下命令查看安装或者升级了的libpcap版本 tcpdump --version 来源： https://www.cnblogs.com/lizhaoxian/p/11715373.html

2012-10-11 10:50:35| 分类： rhel_apache |举报|字号 订阅 tcpdump -XvvennSs 0 -i eth0 tcp[20:2]=0x4745 or tcp[20:2]=0x4854 0x4745 为"GET"前两个字母"GE" 0x4854 为"HTTP"前两个字母"HT" 说明： 通常情况下:一个正常的TCP连接，都会有三个阶段:1、TCP三次握手;2、数据传送;3、TCP四次挥手 里面的几个概念： SYN: (同步序列编号,Synchronize Sequence Numbers) ACK: (确认编号,Acknowledgement Number) FIN: (结束标志,FINish) TCP三次握手(创建 OPEN) 客户端发起一个和服务创建TCP链接的请求，这里是SYN(J) 服务端接受到客户端的创建请求后，返回两个信息： SYN(K) + ACK(J+1) 客户端在接受到服务端的ACK信息校验成功后(J与J+1)，返回一个信息：ACK(K+1) 服务端这时接受到客户端的ACK信息校验成功后(K与K+1)，不再返回信息，后面进入数据通讯阶段 数据通讯 客户端/服务端 read/write数据包 TCP四次握手(关闭 finish) 客户端发起关闭请求，发送一个信息：FIN(M) 服务端接受到信息后，首先返回ACK(M+1)

tcpdump抓取tcp的三次握手 先要打开两个终端,打开root权限 输入 telnet www.baidu.com 80 查询一下IP号，然后输入ctrl+] 以及quit退出 administrator@ubuntu:~$ sudo su [sudo] password for administrator: root@ubuntu:/home/administrator# telnet www.baidu.com 80 Trying 119.75.218.77... Connected to www.a.shifen.com. Escape character is '^]'. ^]quit telnet> quit Connection closed. root@ubuntu:/home/administrator# 在另外一个端口监听这个IP号，并用tcpdump抓包 administrator@ubuntu:~$ sudo su [sudo] password for administrator: root@ubuntu:/home/administrator# tcpdump -i eth0 -S host 119.75.217.56 tcpdump: verbose output suppressed, use -v or -vv for full protocol

Linux Tcpdump抓包分析详解 tcpdump提供了源代码，公开了接口，因此具备很强的可扩展性，对于网络维护和入侵者都是非常有用的工具。tcpdump存在于基本的Linux系统中，由于它需要将网络界面设置为混杂模式，普通用户不能正常执行，但具备root权限的用户可以直接执行它来获取网络上的信息。因此系统中存在网络分析工具主要不是对本机安全的威胁，而是对网络上的其他计算机的安全存在威胁。 一、概述 顾名思义，tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤，并提供and、or、not等逻辑语句来帮助你去掉无用的信息。 #tcpdump 17:14:26.650373 IP 192.168.41.241.53674 > 192.168.41.160.ssh: Flags [.], ack 2508812, win 42, length 0 17:14:26.650379 IP 192.168.41.160.ssh > 192.168.41.241.53674: Flags [P.], seq 2508812:2508976, ack 417, win 2546, length 164 17:14:26.650405 IP 192.168.41.160.ssh > 192.168.41.241.53674:

ser 端代码 cli端代码 命令 tcpdump -i lo -nnA 'port=6000' 这个的意思是监听6000号端口 记得加上lo 不能是ech0网卡 这个是回环地址 由于是本机回环 使用IP都是一样的 端口号不同 用 netstat -pan|grep cli 也可以 19:36:06.190761 IP 192.168.243.128.37147 > 192.168.243.128.6000: Flags [S], seq 946003763, win 65495, options [mss 65495,sackOK,TS val 28598343 ecr 0,nop,wscale 6], length 0 ////////////////////////截出来第一次握手 19:36:06.190820 IP 192.168.243.128.6000 > 192.168.243.128.37147: Flags [S.], seq 3620774452, ack 946003764, win 65483, options [mss 65495,sackOK,TS val 28598344 ecr 28598343,nop,wscale 6], length 0 //////////////////////第二次握手 19:36:06.190862 IP 192

序言 单独总结tcpdump抓包的常用命令 主要语法 过滤主机/IP： tcpdump -i eth1 host 172.16.7.206 抓取所有经过网卡1，目的IP为172.16.7.206的网络数据 过滤端口： tcpdump -i eth1 dst port 1234 抓取所有经过网卡1，目的端口为1234的网络数据 过滤特定协议： tcpdump -i eth1 udp 抓取所有经过网卡1，协议类型为UDP的网络数据 抓取本地环路数据包 tcpdump -i lo udp 抓取UDP数据 tcpdump -i lo udp port 1234 抓取端口1234的UDP数据 tcpdump -i lo port 1234 抓取端口1234的数据 特定协议特定端口： tcpdump udp port 1234 抓取所有经过1234端口的UDP网络数据 抓取特定类型的数据包： tcpdump -i eth1 ‘tcp[tcpflags] = tcp-syn’ 抓取所有经过网卡1的SYN类型数据包 tcpdump -i eth1 udp dst port 53 抓取经过网卡1的所有DNS数据包（默认端口） 逻辑语句过滤： tcpdump -i eth1 ‘((tcp) and ((dst net 172.16) and (not dst host 192.168.1.200)))

详细的文档见 tcpdump高级过滤技巧 基本语法 ======== 过滤主机 -------- - 抓取所有经过 eth1，目的或源地址是 192.168.1.1 的网络数据 # tcpdump -i eth1 host 192.168.1.1 - 源地址 # tcpdump -i eth1 src host 192.168.1.1 - 目的地址 # tcpdump -i eth1 dst host 192.168.1.1 过滤端口 -------- - 抓取所有经过 eth1，目的或源端口是 25 的网络数据 # tcpdump -i eth1 port 25 - 源端口 # tcpdump -i eth1 src port 25 - 目的端口 # tcpdump -i eth1 dst port 25网络过滤 -------- # tcpdump -i eth1 net 192.168 # tcpdump -i eth1 src net 192.168 # tcpdump -i eth1 dst net 192.168 协议过滤 -------- # tcpdump -i eth1 arp # tcpdump -i eth1 ip # tcpdump -i eth1 tcp # tcpdump -i eth1 udp # tcpdump -i eth1 icmp 常用表达式

tcpdump tcpdump - dump traffic on a network tcpdump是一个用于截取网络分组，并输出分组内容的工具。凭借强大的功能和灵活的截取策略，使其成为类UNIX系统下用于网络分析和问题排查的首选工具 tcpdump 支持针对网络层、协议、主机、网络或端口的过滤，并提供and、or、not等逻辑语句来帮助你去掉无用的信息 命令格式 tcpdump [ -DenNqvX ] [ -c count ] [ -F file ] [ -i interface ] [ -r file ] [ -s snaplen ] [ -w file ] [ expression ] 抓包选项： -c：指定要抓取的包数量。 -i interface：指定tcpdump需要监听的接口。默认会抓取第一个网络接口 -n：对地址以数字方式显式，否则显式为主机名，也就是说-n选项不做主机名解析。 -nn：除了-n的作用外，还把端口显示为数值，否则显示端口服务名。 -P：指定要抓取的包是流入还是流出的包。可以给定的值为"in"、"out"和"inout"，默认为"inout"。 -s len：设置tcpdump的数据包抓取长度为len，如果不设置默认将会是65535字节。对于要抓取的数据包较大时，长度设置不够可能会产生包截断，若出现包截断， ：输出行中会出现"[|proto]