选项:
-v 显示版本信息
-t 目标地址
只处理目的地址为"目标地址"的数据,和 '-s' '-c' '-v' 选项不兼容
-s 源地址
只处理发送地址为"源地址"的数据,和'-t' '-c' '-v' 选项不兼容
-c 配置文件
在配置文件中对包过滤规则进行定义,和-t' '-s' '-v'不兼容
-R 文件
将输出结果记录到"文件"中(和'-v'不兼容)
-n 关闭IP数据报校验,使伪造的数据也可以显示出来
-x 打印TCP数据报的扩展信息到标准输出中((SEQ,ACK, Flags等),往往用来跟踪欺骗,包丢失及实现其他的网络调试测试任务。和'-i' 'I' '-v'不兼容
-d 输出到缺省的文件中,一般文件名为源目的地址的组合如:192.168.0.232.1120-192.168.0.231.80
-a输出ascII码格式,不可打印的字符用”.”表示
-P 协议
指定需要处理的数据的协议类型,IP,TCP,ICMP,UDP等。
-p 端口
只处理目的端口为"端口"的数据。
-l sniflen
在正常模式下,记录的数据的总和(缺省为300字节),每次的连接的前sniflen个字节被记录下来。
-F device
指定监听某个设备的数据如eth0,eth1等
-D tty
所有的记录信息都被输出到指定的tty
举例:
? 要监听从192.168.0.233发往192.168.0.231的访问WWW请求数据:
[root@lix /tmp]#/usr/sbin/sniffit -p 80 -P TCP -s 192.168.0.233 -d ttyp1
Packet ID (from_IP.port-to_IP.port): 192.168.0.233.1060-192.168.0.231.80
45 00 00 2C 6D 0B 40 00 80 06 0A A0 C0 A8 00 E9 C0 A8 00 E7 04 24 00 50 00 4E
89 2A 00 00 00 00 60 02 20 00 67 19 00 00 02 04 05 B4
注:192.168.0.231为一台运行linux的服务器
? 如果希望将输出定向到一个文件,则
[root@lix /tmp]# /usr/sbin/sniffit -p 80 -P TCP -s 192.168.0.233 -R /tmp/wwwlog
? 如果希望查看从192.168.0.231返回给192.168.0.225的www页面数据,并且将数据存储在一个文件/tmp/wwwlog中:
[root@lix /tmp]# /usr/sbin/sniffit -P TCP -t 192.168.0.225 -R /tmp/wwwlog
注:在225上不要开别的到231的连接,如telnet 否则 数据就回混杂在一起。
? 如果希望查看从192.168.0.233发给192.168.0.231的ICMP数据,并且将其显示到控制台上:
[root@lix /tmp]# /usr/sbin/sniffit -P ICMP -t 192.168.0.233 -d ttyp1
sniffit支持配置文件,通过配置文件可以提供更强大的嗅探控制。配置文件格式包含五个不同的字段,意义分别如下:
字段 1—select 或 deselect。指示sniffit捕捉后面条件指定的数据或者不捕捉。
字段 2—from, to, 或 both。 H指示sniffit捕捉来自、发往或双向的指定的主机的数据。
字段 3—host, port, or mhost。指定一个或多个目标主机。mhost可以用来指定多个主机,如192.168.0。
字段 4—hostname, port number, or multiple-host 列表。
Field 5—端口号。
例如:
select from host 192.168.0.1
select from host 192.168.0.1 80
select both port 23
sniffit将捕捉来自两个主机的telnet和www的所有信息。
select both mhosts 100.100.12.
deselect both port 80
select both host 100.100.12.2
sniffit将捕捉100.100.12.*相关除www以外的所有数据,但是显示100.100.12.2的www数据
--------------------------------------------------------------------------------
上一篇:教你当邮件病毒入侵后的五个清除步骤
下一篇:“混客绝情炸弹”源代码(1)及手工清除
|
精品推荐