iptrace 命令记录从网络接口接收到的所有数据包。ipreport 命令将 iptrace 生成的数据格式化到一个可读的跟踪报告中。而且,您还可以使用 ipfilter 对 ipreport 所创建的输出文件进行排序。尝试启动跟踪,并让它工作一分钟.
] > /usr/sbin/iptrace -a -i en0 iptrace.out &
[1] 737520
] > [774252]
[1] + Done /usr/sbin/iptrace -a -i en0 iptrace.out &
] > ps -ef | grep iptrace
root 205030 749602 0 10:57:32 pts/0 0:00 grep iptrace
root 774252 1 2 10:57:25 - 0:00 /usr/sbin/iptrace -a -i en0 iptrace.out
When you are done with the trace, you need to kill the process:
] > kill -1 774252
] > iptrace: unload success!
] > ipreport -r -s iptrace.out >/ipreport.network
Now, examine the output.
] > more ipreport.network
IPTRACE version: 2.0
ETH: ====( 114 bytes transmitted on interface en0 )==== 10:57:25.698790226
ETH: [ da:bb:b8:b5:26:14 -> 6e:87:76:59:6e:cd ] type 800 (IP)
IP: < SRC = 172.29.135.44 > (lpar37p682e)
IP: < DST = 172.29.131.16 >
IP: ip_v=4, ip_hl=20, ip_tos=16, ip_len=100, ip_id=18349, ip_off=0 DF
IP: ip_ttl=60, ip_sum=945f, ip_p = 6 (TCP)
TCP:
TCP: th_seq=337783617, th_ack=1783353394
TCP: th_off=8, flags
TCP: th_win=65522, th_sum=0, th_urp=0
TCP: nopshows the captured information about each packet, including packet size and 上面显示了所捕获的、有关每个数据包的信息,包括数据包的大小和 IP 地址信息。正如您可以想象到的,这个跟踪文件可能会迅速地变得很大。示例文件在不到一分钟的时间内就增长到了 40 MB!在运行这些跟踪的时候,一定要非常小心,因为如果您没有足够的磁盘空间用于这些文件,那么将会迅速地耗尽磁盘空间。
您还可以使用系统资源控制器 (SRC) 来启动跟踪。如下:
TCP: nop
TCP: timestamps TSVal: 0x47414604 TSEcho: 0x47826117
TCP: 00000000 520bea13 dfaefa7b e1c517d6 ce86f960 |R......{.......'|
TCP: 00000010 fdb24d69 947c8d48 fa7b6379 235d1a63 |..Mi.|.H.{cy#].c|
TCP: 00000020 840adfc2 e1b4b916 e1002983 f96fc1fb |..........)..o..|
# startsrc -s iptrace -a "-i en1 /home/testing/iptrace/iptracelog"
Stopping it is easy;
# stopsrc -s iptrace
阅读(6767) | 评论(1) | 转发(0) |
