[原创]tcpdump抓取vlan、pppoe等数据帧的规则_VMware, Unix及操作系统讨论区_Weblogic技术|Tuxedo技术|中间件技术|Oracle论坛|JAVA论坛|Linux/Unix技术|hadoop论坛_联动北方技术论坛  
网站首页 | 关于我们 | 服务中心 | 经验交流 | 公司荣誉 | 成功案例 | 合作伙伴 | 联系我们 |
联动北方技术论坛-国内领先的Weblogic、Tuxedo中间件技术论坛
联动北方-国内领先的云技术服务提供商
»  游客             当前位置:  论坛首页 »  自由讨论区 »  VMware, Unix及操作系统讨论区 »
总帖数
2
每页帖数
101/1页1
返回列表
0
发起投票  发起投票 发新帖子
查看: 7604 | 回复: 1   主题: [原创]tcpdump抓取vlan、pppoe等数据帧的规则        下一篇 
wulcan
版主
等级:中校
经验:1795
发帖:124
精华:0
注册:2014-3-19
状态:离线
发送短消息息给wulcan 加好友    发送短消息息给wulcan 发消息
发表于: IP:您无权察看 2014-3-22 14:21:50 | [全部帖] [楼主帖] 楼主

tcpdump抓取ip等信息时,规则比较好写。tcpdump抓取tags vlan帧的时候,规则应该怎么写呢?
tcpdump -i em0 icmp是抓取icmp,vlan应该写作:tcpdump -i em0 vlan?
二层以太网帧有个ether
type头,占两个字节,指示了帧的类别,常见的有:

0x0800 ipv4
0x0806 arp
0x8100 tags vlan
0x8137 ipx
0x8808 flow control
0x86dd ipv6


0x8863 pppoe 发现帧
0x8864 pppoe 会话帧
0x8870 巨帧

这个ether type在tcpdump上,用ether proto来表示,比如ipv4的另一个表示法:

tcpdump -i em0 ether proto 0x0800


抓vlan:

tcpdump -i em0 ether proto 0x8100


抓pppoe:

tcpdump -ani vlan525 ether proto 0x8863 '||' ether proto 0x8864


注意“或者”符号两边有引号,否则要进行转义才能被shell识别。

--end--


该贴由hui.chen转至本版2014-11-5 17:05:01


赞(0)    操作        顶端 
_chen
版主
等级:中校
经验:2139
发帖:39
精华:0
注册:2013-8-23
状态:离线
发送短消息息给_chen 加好友    发送短消息息给_chen 发消息
发表于: IP:您无权察看 2014-3-22 22:30:53 | [全部帖] [楼主帖] 2  楼

北京联动北方科技有限公司

赞(0)    操作        顶端 
总帖数
2
每页帖数
101/1页1
返回列表
发新帖子
请输入验证码: 点击刷新验证码
您需要登录后才可以回帖 登录 | 注册
技术讨论

Weblogic中间件技术论坛

 |

Tuxedo中间件技术论坛

 |

数据库论坛

 |

Java论坛

 |

Linux/unix论坛

 |

网站地图


Powered by LandingBJ     @ 2008-2018     联动北方   
京ICP证号090597    京ICP备案09017624号    京公网安备110112000093号    
400-810-2327     Email:service@landingbj.com   

Powered by landingbj @ 2008-2015 联动北方
京ICP证号090597 京ICP备案09017624号 京公网安备110112000093号
86-27-87056338 Email:service@landingbj.com