、先用ipfwpcap建一個divert socket。
ipfwpcap -r 8888 -
說明:(1)-r參數是讓數據包再回到原來的地方。
(2)8888是新開一個divert,用8888端口,可以隨意改這個數值,但是要和後面的再對應起來。(對應的natd是8668)
(3)“-”(減號)表示是控制台。需要注意的是,ipfwpcap是一個前台程序,最好在後面加個&號把它放到後台,或者干脆另開一個終端。
2、用ipfw把數據包傳到ipfwpcap
ipfw add 50 divert 8888 ip from any to any
說明:(1)正常情況,把這句盡量放早。我的例子用的是50,應該比較早了。
(2)一定要divert 到8888,否則就到不了ipfwpcap了。
3、在ipfwpcap的終端上,就可以看到相應的信息了。
4、如果想把它保存下來分析,可以用:ipfwpcap -r 8888 /home/abc.txt。
這樣就把原始數據以tcpdump的格式保存到/home/abc.txt。可以用tcpdump分析。
5、示例:
第一個終端:
ipfwpcap -r 8888 /home/tcpdump
第二個終端:
divert 8888 ip from 192.168.0.99 to any
打開tcpdump
用tcpdump分析,和tcpdump用法一樣:(查看DSN信息)