扩充的snoop抓包语句-Huaweicom.DOC

华为技术有限公司 全球技术服务部 地址：深圳市龙岗区坂田华为总部办公楼 邮编：518129 网址： 华为技术支持网站： 客户服务电话：0755 8008302118 客户服务传真：0755 前言： 本着“共同学习，共同提高”的宗旨，华为技术支持中心汇总整理了华为数据业务设备日常维护中需要特别注意的事项和常见问题解答，发布在华为技术支持网站首页“华为资源·电子期刊·数据业务加油站”栏目，同时通过email邮箱发送给各位维护专家，希望对您的日常设备维护工作有所帮助。让我们携起手来，共同打造安全的精品网络！ ((业务与软件*数据业务加油站(( ——抓包工具snoop使用专题 尊敬的客户： snoop是solaris自带抓报工具，能够灵活的获得设备间交互信息，对定位时消息流程非常有用，在这里对它的使用做一个总结，并结合在iTELLIN(infox-AAA)中的应用进行说明。 snoop的使用 在solaris中的帮助中可以获得关于snoop的详细的使用说明： root@iTELLIN # man snoop Reformatting page. Please Wait... done Maintenance Commands snoop(1M) NAME snoop - capture and inspect network packets SYNOPSIS snoop [ -aqrCDNPSvV ] [ -t [ r | a | d ] ] [ -c max- count ] [ -d device ] [ -i filename ] [ -n filename ] [ -o filename ] [ -p first [ , last ] ] [ -s snaplen ] [ -x offset [ , length ] ] [ expression ] snoop支持的选项很多，而常用的选项有： -d 指定网卡，不知道网卡，使用命令netstat -rn 查看IP绑定在哪个网卡上； -t 抓包时带时间； -x 偏移量，通常UDP前面有42报文头，tcp头大于54,偏移该字节只抓内容； port 抓哪个端口，如果要抓多个端口使用or连接； ip 抓哪个IP的报文，如果抓某个IP某个端口使用and连接。 在使用过程中，只要知道所需要抓包的端口号，就可以完整的获得流程信息。 例如： snoop -d hme0 -t a -x 42 port 1812 or port 1813 抓hme0网卡的1812和1813端口的所有信息 snoop -d hme0 -t a -x 42 ip 2 抓hme0网卡中与2交互的所以报文 snoop -d hme0 -t a -x 42 ip 2 and port 1812 抓hme0网卡中与2交互的1812报文 snoop -d hme0 -t a -x 42 ip 2 and port 1812 or ip 2 and port 1813 抓hme0网卡中与2交互的1812端口和1813端口的所有报文。 snoop -d hme0 -t a -x 42 ip 2 and port 1812 or port 1813 抓2的1812报文和所有设备的1813报文 snoop -d hme0 -x 54 -t a greater 64 port 19992 抓19992端口上长于64字节的报文，偏移54字节 短时间抓包可以输出到屏幕，也可以重定向到文件。 snoop在iTELLIN(infox-AAA)维护中的使用 为了方便使用，iTELLIN研发根据实际的使用，写出了方便使用的snoop工具包。 工具包主要包括： snoop.sh 抓包的脚本 使用中需要配置的选项有 DISK_SPACE_UPPER_LIMIT=90 #磁盘占用率的上限，超过该值程序退出(snoop 抓包会产生大量的报文包，需要根据实际进行配置,当占用率很高时会影响系统稳定，甚至影响业务) DISK_SPACE_LOWER_LIMIT=80 #超过该占用率删除以前的包，至少保留一个包 SNOOP_COMMAND=snoop -d hme0 -t a