、先用ipfwpcap建一个divert socket。
ipfwpcap -r 8888 -
说明:(1)-r参数是让数据包再回到原来的地方。
(2)8888是新开一个divert,用8888端口,可以随意改这个数值,但是要和后面的再对应起来。(对应的natd是8668)
(3)“-”(减号)表示是控制台。需要注意的是,ipfwpcap是一个前台程序,最好在后面加个&号把它放到后台,或者干脆另开一个终端。
2、用ipfw把数据包传到ipfwpcap
ipfw add 50 divert 8888 ip from any to any
说明:(1)正常情况,把这句尽量放早。我的例子用的是50,应该比较早了。
(2)一定要divert 到8888,否则就到不了ipfwpcap了。
3、在ipfwpcap的终端上,就可以看到相应的信息了。
4、如果想把它保存下来分析,可以用:ipfwpcap -r 8888 /home/abc.txt。
这样就把原始数据以tcpdump的格式保存到/home/abc.txt。可以用tcpdump分析。
5、示例:
第一个终端:
ipfwpcap -r 8888 /home/tcpdump
第二个终端:
divert 8888 ip from 192.168.0.99 to any
打开tcpdump
用tcpdump分析,和tcpdump用法一样:(查看DSN信息)
