- 浏览: 308538 次
- 性别:
- 来自: 大连
-
文章分类
最新评论
-
syw19901001:
从入门到精通,不错。http://www.ihref.com/ ...
使用git进行版本控制 -
轻指飞扬:
...
一场程序员和老板的对话 -
luogen33:
ttttttttttttttttttttttttttttttt ...
lsmod -
luogen33:
ttttttttttttttttttt
lsmod -
vaqeteart:
嗯那
得到与享受
tcpdump
[功能]
抓包工具。
[描述]
1、简介
tcpdump,就是:dump the traffice on a network,是Linux上的网络数据采集分析工具(即sniffer), 可以根据使用者的定义对网络上的数据包进行截获的包分析工具。sniffer工具首先是为网络管理员和网络程序员进行网络分析而设计的。对于网络管理人员来说,使用嗅探器可以随时掌握网络的实际情况,在网络性能急剧下降的时候,可以通过sniffer工具来分析原因,找出造成网络阻塞的来源。对于网络程序员来说,通过sniffer工具来调试程序。
2、选项
tcpdump支持相当多的参数,如使用-i参数指定tcpdump监听的网络界面,这在计算机具有多个网络界面时非常有用,使用-c参数指定要监听的数据包数量,使用-w参数指定将监听到的数据包写入文件中保存,等等。如下:
-a 将网络地址和广播地址转变成名字;
-b 在数据-链路层上选择协议,包括ip、arp、rarp、ipx都是这一层的。
-c 指定要监听的数据包数量,在收到指定的包的数目后,tcpdump就会停止.
-d 将匹配信息包的代码以人们能够理解的汇编格式给出;
-dd 将匹配信息包的代码以c语言程序段的格式给出;
-ddd 将匹配信息包的代码以十进制的形式给出;
-e 在输出行打印出数据链路层的头部信息;
-F 从指定的文件中读取表达式,忽略其它的表达式;
-f 将外部的Internet地址以数字的形式打印出来;
-i 指定监听的网络接口,这在计算机具有多个网络接口时非常有用.
-l 用于输出为行缓冲的形式,可以将数据重定向。
-N 不打印出默认的域名。前面信息-N后就是:eth0 < ntc9.1165 > router.telnet。
-n 不进行IP地址到主机名的转换。如果不使用这一项,当系统中存在某一主机的主机名时,TcpDump会把IP地址转换为主机名显示,就像这样:eth0 < ntc9.1165> router.domain.net.telnet,使用-n后变成了:eth0 < 192.168.0.9.1165 > 192.168.0.1.telnet。
-nn 不进行端口名称的转换。前面那条信息使用-nn后就变成了:eth0 < ntc9.1165 > router.domain.net.23。
-O 不进行匹配代码的优化。
-r 从指定的文件中读取包(这些包一般通过-w选项产生);
-T 将监听到的包直接解释为指定的类型的报文,常见的类型有rpc (远程过程调用)和snmp(简单网络管理协议;)
-t 在输出的每一行不打印时间戳;
-tt 打印原始的、未格式化过的时间。
-v 输出一个稍微详细的信息,例如在ip包中可以包括ttl和服务类型的信息;
-vv 输出详细的报文信息;
-w 指定将监听到的数据包写入文件中保存而并不分析和打印出来.
3、过滤条件
tcpdump使用参数指定要监视数据包的类型、地址、端口等,根据具体的网络问题,更复杂的tcpdump参数是用于过滤目的,充分利用这些过滤规则就能达到迅速定位故障的目的。因为网络中流量很大,如果不加分辨将所有的数据包都截留下来,数据量太大,反而不容易发现需要的数据包,使用这些参数定义的过滤规则可以截留特定的数据包,以缩小目标,更好的分析网络中存在的问题。请使用man tcpdump查看这些过滤规则的具体用法。
显然为了安全起见,不用作网络管理用途的计算机上不应该运行这一类的网络分析软件,为了屏蔽它们,可以屏蔽内核中的bpfilter伪设备。一般情况下网络硬件和TCP/IP堆栈不支持接收或发送与本计算机无关的数据包,为了接收这些数据包,就必须使用网卡的混杂模式,并绕过标准的TCP/IP 堆栈才行。在FreeBSD下,这就需要内核支持伪设备bpfilter。因此,在内核中取消bpfilter支持,就能屏蔽tcpdump之类的网络分析工具。当网卡被设置为混杂模式时,系统会在控制台和日志文件中留下类似如下记录,提醒管理员留意这台系统是否被用作攻击同网络的其他计算机的跳板。
May 15 16:27:20 host1 /kernel: fxp0: promiscuous mode enabled
虽然网络分析工具能将网络中传送的数据记录下来,但是网络中的数据流量相当大,如何对这些数据进行分析、分类统计、发现并报告错误却是更关键的问题。网络中的数据包属于不同的协议,而不同协议数据包的格式也不同。因此对捕获的数据进行解码,将包中的信息尽可能的展示出来,对于协议分析工具来讲更为重要。昂贵的商业分析工具的优势就在于它们能支持很多种类的应用层协议,而不仅仅只支持tcp、udp等低层协议。
从后面例子的tcpdump输出可以看出,tcpdump对截获的数据并没有进行彻底解码,数据包内的大部分内容是使用十六进制的形式直接打印输出的。显然这不利于分析网络故障,通常的解决办法是先使用带-w参数的tcpdump 截获数据并保存到文件中,然后再使用其他程序进行解码分析。当然也应该定义过滤规则,以避免捕获的数据包填满整个硬盘。
4、表达式
表达式(expression)可以用来在抓包的时候设置各种过滤条件等。expression是tcpdump最为有用的高级用法,可以利用它来匹配一些特殊的包。如果tcpdump中没有expression,那么tcpdump会把网卡上的所有数据包输出,否则会将被expression匹配的包输出。
expression 由一个或多个[primitives]组成,而[primitives]其实就是过滤条件,由一个或多个[qualitifer]加一个id(name)或数字组成,它们的结构如用正则表达式则可表示为:
expression = ([qualitifer]+(id|number))+
其中,[qualitifer]+(id|number)就是一个比较基本条件,qualitifer表达一些名称(项,变量),id或number则表示一个值(或常量)。
qualitifer共有三种,分别是:
(1)、type
表示id name或number涉及到的类型,如:host, net, port ,portrange等等。
例子:
"host foo" 此为一个简单的primitive,host为qualitifer, foo为id name,指定主机为foo。
"net 128.3" net为qualitifer, 128.3为number,指定网络为128.3。
"port 20" port为qualitifer, 20为number,指定端口为20。
每个privimtive必须有一个type词,如果表达式中没有,则默认是host.
(2)、dir
指定数据传输的方向,如:src, dst, src or dst, src and dst。
例子:
"dst net 128.3" 此为一个相对复杂的primitive,结构为"dir type number"表示的条件含义是:目标网络为128.3。
"src or dst port ftp-data" 此为比上一个相对简的结构,"src or dst"表示源或目标,"ftp-data"为id,表示ftp协议中数据传输端口,故整体表示源或目标端口ftp-data的数据包即匹配。
如果在一个primitive中没有dir词,此默认为src or dst. 如"host foo"则表示源或目标主机为foo的数据包都匹配。
(3)、proto
指定协议的关键字,主要包括fddi,ip,arp,rarp,tcp,udp等类型。
用来匹配某种特定的协议,包括:ether, fddi, tr, wlan, ip, ip6, arp, rarp, fddi,decnet,tcp和udp等。其实这些词经常用来匹配某种协议,是使用率最高的一组词了。Fddi指明是在FDDI(分布式光纤数据接口网络)上的特定的网络协议,fddi和ether具有类似的源地址和目的地址,所以可以将fddi协议包当作ether的包进行处理和分析。其他的几个关键字就是指明了监听的包的协议内容。如果没有指定任何协议,则tcpdump将会监听所有协议的信息包。ip icmp arp rarp 和 tcp、udp、icmp这些选项等都要放到第一个参数的位置,用来过滤数据报的类型。类似:tcpdump ip src……
例子:
tcp src port 80
ip dst host 192.168.1.1
通过上面介绍的三种qualitifer,我们很快就可以写出一个primitive。 如果出现type的话,一定会出现id或num;如果出现dir,那么也会出现type,如果不出现,默认为host; 而proto可单独出现,如 tcpdump 'tcp'。
除了这三种类型的关键字之外,其他重要的关键字如下:gateway, broadcast,less,greater,还有三种逻辑运算,取非运算是 'not ' '! ', 与运算是'and','&&';或运算 是'or' ,'││';这些关键字可以组合起来构成强大的组合条件来满足人们的需要,后面举几个例子来说明。
5、逻辑组合过滤条件
通过学会写好每个 primtive,可以写出只有一个primtive的表达式,也可以把多个primitive组成一个expression,通过逻辑运算符连接起来就可以了,逻辑运算符有以下三个:
“&&” 或”and”
“||” 或“or”
“!” 或“not”
并且可通过()进行复杂的连接运算。如:
tcpdump 'ip && tcp’
tcpdump ‘ host 192.168.240.3 &&( tcp port 80 || tcp port 443)’
6、高级过滤条件
通过上面的各种primitive,我们可以写出很丰富的条件,如ip, tcp, udp,vlan等等。如IP,可以按址址进行匹,tcp/udp可以按端口匹配。但是,如果我想匹配更细的条件呢?如tcp中只含syn标志,fin标志的报文呢?上面的primitive恐怕无能为力了。不用怕,tcpdump为你提供最后一个功能最强大的primitive,记住是 primitive,而不是expression。你可以用多个这样的primitive组成更复杂的 expression。
若把这个形式记为A,那么你可这样写tcpdump 'A1 && A2 && ip src 192.168.200.1',等等。下面我们就来分析A这个形式。
形式:expr relop expr
relop表示关系操作符,可以为>, < ,>=,<=, =, !=之一,
expr是一个算术表达式,由整数组成和二元运算符(+,-,*,/,&,|, <<, >>),长度操作,报文数据访问子。同时所有的整数都是无符号的,即0x80000000 和 0xffffffff > 0。
为了访问报文中的数据,可使用如下方式:
proto [ expr : size ]
proto表示该报文类型,expr的结果表示该报文的偏移,size为可选的,表示从expr偏移量起的szie个字节,整个表达式为proto报文 中,expr起的szie字节的内容(无符号整数)
例如:
'ether[0] & 1 !=0':ether报文中第0个bit为1,即以太网广播或组播的primtive。
通过这种方式,我们可以对报文的任何一个字节进行匹配了,因此它的功能是十分强大的。
‘ip[0] = 4’:ip报文中的第一个字节为version,即匹配IPv4的报文,
'tcp[13] = 2':匹配一个syn报文,因为tcp的标志位为TCP报文的第13个字节,而syn在这个字节的低1位,故匹配只有syn标志的报文,上述条件是可满要求的,并且比较严格。
'icmp[0]=8':匹配ping命令的请求报文,因为icmp报文的第0字符表示类型,当类型值为8时表示为回显示请求。
7、助记符号
对于TCP和ICMP中常用的字节,如TCP中的标志位,ICMP中的类型,这个些偏移量有时会忘记。不过tcpdump为你提供更方便的用法,你不用记位这些数字,用字符就可以代替了。对于IP报文,没有提供字符支持,如果想匹配更细的条件,直接使用数字指字偏移量就可以了,不过要对IP报文有更深入的了解才可以。
对于ICMP报文,类型字节可以icmptype来表示它的偏称量,上面的primitive可改为'icmp[icmptype] =8',如果8也记不住怎么办?tcpdump还为该字节的值也提供了字符表示,如'icmp[icmptype] = icmp-echo'。下面是tcpdump提供的字符偏移量:
icmptype:表示icmp报文中类型字节的偏移量
icmpcode:表示icmp报文中编码字节的偏移量
ICMP中类型字节的值可以是:
icmp-echoreply, icmp-unreach, icmp-sourcequench, icmp-redi﹔ect, icmp-echo, icmp-routeradvert, icmp-routersolicit,
icmp-timxceed, icmp-paramprob, icmp-tstamp, icmp-tstam﹑reply, icmp-ireq, icmp-ireqreply, icmp-maskreq, icmp-maskreply.
tcpflags表示TCP报文中标志位字节的偏移量
TCP中标志位字节的值可以是:
tcp-fin, tcp-syn, tcp-rst, tcp-push, tcp-ack, tcp-urg.
综上,我们可以写出下面的primitive:
'tcp[tcpflags] = tcp-syn':匹配只有syn标志设置为1的 tcp报文
'tcp[tcpflags] & (tcp-syn |tcp-ack |tcp-fin) !=0':匹配含有syn,或ack或fin标志位的TCP报文
8、输出
基本上tcpdump总的的输出格式为:系统时间 来源主机.端口 > 目标主机.端口 数据包参数
例如:
bash-2.02# tcpdump
tcpdump: listening on eth0
11:58:47.873028 202.102.245.40.netbios-ns > 202.102.245.127.netbios-ns: udp 50
11:58:47.974331 0:10:7b:8:3a:56 > 1:80:c2:0:0:0 802.1d ui/C len=43
0000 0000 0080 0000 1007 cf08 0900 0000
0e80 0000 902b 4695 0980 8701 0014 0002
000f 0000 902b 4695 0008 00
11:58:48.373134 0:0:e8:5b:6d:85 > Broadcast sap e0 ui/C len=97
ffff 0060 0004 ffff ffff ffff ffff ffff
0452 ffff ffff 0000 e85b 6d85 4008 0002
0640 4d41 5354 4552 5f57 4542 0000 0000
0000 00
^C
更多例子参见后面。
[举例]
*监视第一个网络界面上所有流过的数据包:
root@quietheart:~/test#tcpdump
普通情况下,直接启动tcpdump将监视第一个网络界面上所有流过的数据包,注意这里使用超级用户。当用户上网得时候,就会将监视得数据打印出来。
*重定向输出:
root@quietheart:~/test#tcpdump -l >tcpcap.txt
将得到的数据存入tcpcap.txt文件中。
*匹配一次:
root@quietheart:~/test#tcpdump -c 1
这样就只匹配一个包,然后tcpdump就退出。
*监视指定主机收发的数据包:
root@quietheart:~/test#tcpdump host 10.126.1.13
这样将会监视第一个网络接口上所有"10.126.1.13"主机收到的和发出的所有的数据包
*监视指定主机和另外主机之间得通信:
root@quietheart:~/test#tcpdump host 10.126.1.222 and (10.126.1.1 or 10.126.1.13 )
这里将监视主机10.126.1.222和10.126.1.1或者10.126.1.13之间的通信,注意这里得括号。
*监视时排除某一主机:
root@quietheart:~/test#tcpdump ip host 10.126.1.1 and ! 10.126.1.13
这里监视10.1.6.1.1除了和10.126.1.13之外所有主机的通信。
*指定源主机和目的网络的过滤:
root@quietheart:~/test#tcpdump src host 10.126.1.222 and dst net 10.126.1.0/24
过滤的是源主机为10.126.1.222与目的网络为10.126.1.0/24的报头。
*匹配指定网络:
root@quietheart:~/test# tcpdump -i eth1 net 10.1.10.0 mask 255.255.255.0
注意这里有掩码只支持IPV4,或者使用"tcpdump 10.1.10.0/24",同样这个格式只对IPV4有用。
*监视指定主机指定协议的包:
root@quietheart:~/test#tcpdump ip host 10.126.1.13
这里监视主机10.126.1.13收发的所有ip包。
*监视指定主机和端口的数据包:
root@quietheart:~/test#tcpdump -i eth0 host 10.126.1.1 and port 80
这里会监视10.126.1.1端口80的TCP或UDP数据包,那么执行以下命令:
*监视指定方向和接口的包1:
root@quietheart:~/test#tcpdump -i eth0 src host 10.126.1.222
这样会监视10.126.1.222发送的,eth0上面的包。
*监视指定方向和接口的包2:
root@quietheart:~/test#tcpdump -i eth0 dst host 10.126.1.222
这样会监视10.126.1.222接收的,eth0上面的包。
*监视指定链路层信息:
root@quietheart:~/test#tcpdump -b arp
这里,将只显示网络中的arp即地址转换协议信息。
*过滤源主机mac为00:50:04:BA:9B的报头:
root@quietheart:~/test#tcpdump ether src 00:24:7e:03:62:14
这里,我们可以使用ifconfig查看本地主机的mac,使用arp -n来查看本地已知其他主机的mac。
*过滤源主机为10.126.1.222目的主机端口不是telnet的报文:
root@quietheart:~/test#tcpdump src host 10.126.1.222 and dst port not telnet
*匹配ether包:
root@quietheart:~/test#tcpdump -i eth1 'ether src 00:24:7e:03:62:14'
这里将会在eth1上面监听来自mac为"00:24:7e:03:62:14"的数据包。
*监听ip广播组播数据包
root@quietheart:~/test#tcpdump 'ip dst 192.168.240.255'
这里,只需指明广播或组播地址即可。在同一个局域网的另一台主机运行"ping -b 192.168.240.255"即可发送ICMP的广播包。
*监听80端口的tcp数据包:
root@quietheart:~/test#tcpdump 'tcp dst port 80'
这里,其实一般HTTP的通信数据,只需指定匹配端口为80的条件即可。
*匹配ether广播包:
root@quietheart:~/test#tcpdump 'ether dst ff:ff:ff:ff:ff:ff'
这里,ether广播包的特征是mac全1。ether的组播包的特征是mac的最高位为1,其它位用来表示组播组编号,如果你想匹配其的多播组,知道它的组MAC地址即可。
*匹配arp包:
root@quietheart:~/test#tcpdump arp
我们可以使用"arping <ip>"产生arp请求和接收答应报文,使用"tcpdump -p 'arp'"来监视,此处-p选项是使网络工作于正常模式(非混杂模式),这样是方便查看匹配结果,我们可以使用"ssh -p 80 <ip>"或者"wget <下载地址>"来产生http包。
*匹配端口53上的udp数据包:
root@quietheart:~/test#tcpdump 'upd port 53'
实际53号端口是DNS协议所用的端口,可以用'ping -c 1 www.baidu.com'来产生DNS请求和答应。
*指定范围的匹配条件:
root@quietheart:~/test#tcpdump portrange port1-port2
这里匹配端口在port1-port2范围内的ip/tcp,ip/upd,ip6/tcp和ip6/udp数据包。
*抓取wireshark工具能够分析的包:
#tcpdump -w dumpfile.pcap
这样抓取内容存放在dumpfile.pcap中,可以用wireshark图形工具进行分析。有的说需要加-s参数,例如"tcpdump -s 0 -w dumpfile.pcap"。
[其它]
1、问题:
*监视通过指定网关的数据包:
#tcpdump gateway hostname
注意实践发现这里gateway后面需要指定主机名称,ip好像不行。匹配使用hostname作为网关的数据包,即数据报中mac地址(源或目的)为hostname,但IP报的源和目的地址不是hostname的数据包。
*截获指定端口和协议的包:
#tcpdump tcp port 23
这样会获取端口23上的tcp包(即telnet包)实践发现这里指定host会报错指定host之前加and就没有错误了即"tcpdump tcp port 23 and host 10.1.10.119",但这样只能监视到本地到10.1.10.119上的telnet,不能其他主机到10.1.10.119的。
2、其它例子
下面给出用于tcpdump抓取报文的其它的条件,有待实践。
less length
匹配长度少于等于length的报文。
greater length
匹配长度大于等于length的报文。
ip protochain protocol
匹配ip报文中protocol字段值为protocol的报文
ip6 protochain protocol
匹配ipv6报文中protocol字段值为protocol的报文,如tcpdump 'ip protochain 6 匹配ipv4网络中的TCP报文,与tcpdump 'ip && tcp'用法一样,这里的&&连接两个primitive。6是TCP协议在IP报文中的编号。
ether broadcast
匹配以太网广播报文
ether multicast
匹配以太网多播报文
ip broadcast
匹配IPv4的广播报文。也即IP地址中主机号为全0或全1的IPv4报文。
ip multicast
匹配IPv4多播报文,也就是IP地址为多播地址的报文。
ip6 multicast
匹配IPv6多播报文,即IP地址为多播地址的报文。
vlan vlan_id
匹配为vlan报文 ,且vlan号为vlan_id的报文
host 192.168.240.91 && icmp[icmptype] = icmp-echo
192.168.240.91收发的icmp-echo类型的icmp报文。
host 192.168.1.100 && vrrp
192.168.1.100并且是vrrp协议。
ether src 00:00:00:00:00:02 && ether[0] & 1 !=0
发自00:00:00:00:00:02的广播或者组播的帧。
参考资料:
http://www.linuxso.com/command/tcpdump.html
[功能]
抓包工具。
[描述]
1、简介
tcpdump,就是:dump the traffice on a network,是Linux上的网络数据采集分析工具(即sniffer), 可以根据使用者的定义对网络上的数据包进行截获的包分析工具。sniffer工具首先是为网络管理员和网络程序员进行网络分析而设计的。对于网络管理人员来说,使用嗅探器可以随时掌握网络的实际情况,在网络性能急剧下降的时候,可以通过sniffer工具来分析原因,找出造成网络阻塞的来源。对于网络程序员来说,通过sniffer工具来调试程序。
2、选项
tcpdump支持相当多的参数,如使用-i参数指定tcpdump监听的网络界面,这在计算机具有多个网络界面时非常有用,使用-c参数指定要监听的数据包数量,使用-w参数指定将监听到的数据包写入文件中保存,等等。如下:
-a 将网络地址和广播地址转变成名字;
-b 在数据-链路层上选择协议,包括ip、arp、rarp、ipx都是这一层的。
-c 指定要监听的数据包数量,在收到指定的包的数目后,tcpdump就会停止.
-d 将匹配信息包的代码以人们能够理解的汇编格式给出;
-dd 将匹配信息包的代码以c语言程序段的格式给出;
-ddd 将匹配信息包的代码以十进制的形式给出;
-e 在输出行打印出数据链路层的头部信息;
-F 从指定的文件中读取表达式,忽略其它的表达式;
-f 将外部的Internet地址以数字的形式打印出来;
-i 指定监听的网络接口,这在计算机具有多个网络接口时非常有用.
-l 用于输出为行缓冲的形式,可以将数据重定向。
-N 不打印出默认的域名。前面信息-N后就是:eth0 < ntc9.1165 > router.telnet。
-n 不进行IP地址到主机名的转换。如果不使用这一项,当系统中存在某一主机的主机名时,TcpDump会把IP地址转换为主机名显示,就像这样:eth0 < ntc9.1165> router.domain.net.telnet,使用-n后变成了:eth0 < 192.168.0.9.1165 > 192.168.0.1.telnet。
-nn 不进行端口名称的转换。前面那条信息使用-nn后就变成了:eth0 < ntc9.1165 > router.domain.net.23。
-O 不进行匹配代码的优化。
-r 从指定的文件中读取包(这些包一般通过-w选项产生);
-T 将监听到的包直接解释为指定的类型的报文,常见的类型有rpc (远程过程调用)和snmp(简单网络管理协议;)
-t 在输出的每一行不打印时间戳;
-tt 打印原始的、未格式化过的时间。
-v 输出一个稍微详细的信息,例如在ip包中可以包括ttl和服务类型的信息;
-vv 输出详细的报文信息;
-w 指定将监听到的数据包写入文件中保存而并不分析和打印出来.
3、过滤条件
tcpdump使用参数指定要监视数据包的类型、地址、端口等,根据具体的网络问题,更复杂的tcpdump参数是用于过滤目的,充分利用这些过滤规则就能达到迅速定位故障的目的。因为网络中流量很大,如果不加分辨将所有的数据包都截留下来,数据量太大,反而不容易发现需要的数据包,使用这些参数定义的过滤规则可以截留特定的数据包,以缩小目标,更好的分析网络中存在的问题。请使用man tcpdump查看这些过滤规则的具体用法。
显然为了安全起见,不用作网络管理用途的计算机上不应该运行这一类的网络分析软件,为了屏蔽它们,可以屏蔽内核中的bpfilter伪设备。一般情况下网络硬件和TCP/IP堆栈不支持接收或发送与本计算机无关的数据包,为了接收这些数据包,就必须使用网卡的混杂模式,并绕过标准的TCP/IP 堆栈才行。在FreeBSD下,这就需要内核支持伪设备bpfilter。因此,在内核中取消bpfilter支持,就能屏蔽tcpdump之类的网络分析工具。当网卡被设置为混杂模式时,系统会在控制台和日志文件中留下类似如下记录,提醒管理员留意这台系统是否被用作攻击同网络的其他计算机的跳板。
May 15 16:27:20 host1 /kernel: fxp0: promiscuous mode enabled
虽然网络分析工具能将网络中传送的数据记录下来,但是网络中的数据流量相当大,如何对这些数据进行分析、分类统计、发现并报告错误却是更关键的问题。网络中的数据包属于不同的协议,而不同协议数据包的格式也不同。因此对捕获的数据进行解码,将包中的信息尽可能的展示出来,对于协议分析工具来讲更为重要。昂贵的商业分析工具的优势就在于它们能支持很多种类的应用层协议,而不仅仅只支持tcp、udp等低层协议。
从后面例子的tcpdump输出可以看出,tcpdump对截获的数据并没有进行彻底解码,数据包内的大部分内容是使用十六进制的形式直接打印输出的。显然这不利于分析网络故障,通常的解决办法是先使用带-w参数的tcpdump 截获数据并保存到文件中,然后再使用其他程序进行解码分析。当然也应该定义过滤规则,以避免捕获的数据包填满整个硬盘。
4、表达式
表达式(expression)可以用来在抓包的时候设置各种过滤条件等。expression是tcpdump最为有用的高级用法,可以利用它来匹配一些特殊的包。如果tcpdump中没有expression,那么tcpdump会把网卡上的所有数据包输出,否则会将被expression匹配的包输出。
expression 由一个或多个[primitives]组成,而[primitives]其实就是过滤条件,由一个或多个[qualitifer]加一个id(name)或数字组成,它们的结构如用正则表达式则可表示为:
expression = ([qualitifer]+(id|number))+
其中,[qualitifer]+(id|number)就是一个比较基本条件,qualitifer表达一些名称(项,变量),id或number则表示一个值(或常量)。
qualitifer共有三种,分别是:
(1)、type
表示id name或number涉及到的类型,如:host, net, port ,portrange等等。
例子:
"host foo" 此为一个简单的primitive,host为qualitifer, foo为id name,指定主机为foo。
"net 128.3" net为qualitifer, 128.3为number,指定网络为128.3。
"port 20" port为qualitifer, 20为number,指定端口为20。
每个privimtive必须有一个type词,如果表达式中没有,则默认是host.
(2)、dir
指定数据传输的方向,如:src, dst, src or dst, src and dst。
例子:
"dst net 128.3" 此为一个相对复杂的primitive,结构为"dir type number"表示的条件含义是:目标网络为128.3。
"src or dst port ftp-data" 此为比上一个相对简的结构,"src or dst"表示源或目标,"ftp-data"为id,表示ftp协议中数据传输端口,故整体表示源或目标端口ftp-data的数据包即匹配。
如果在一个primitive中没有dir词,此默认为src or dst. 如"host foo"则表示源或目标主机为foo的数据包都匹配。
(3)、proto
指定协议的关键字,主要包括fddi,ip,arp,rarp,tcp,udp等类型。
用来匹配某种特定的协议,包括:ether, fddi, tr, wlan, ip, ip6, arp, rarp, fddi,decnet,tcp和udp等。其实这些词经常用来匹配某种协议,是使用率最高的一组词了。Fddi指明是在FDDI(分布式光纤数据接口网络)上的特定的网络协议,fddi和ether具有类似的源地址和目的地址,所以可以将fddi协议包当作ether的包进行处理和分析。其他的几个关键字就是指明了监听的包的协议内容。如果没有指定任何协议,则tcpdump将会监听所有协议的信息包。ip icmp arp rarp 和 tcp、udp、icmp这些选项等都要放到第一个参数的位置,用来过滤数据报的类型。类似:tcpdump ip src……
例子:
tcp src port 80
ip dst host 192.168.1.1
通过上面介绍的三种qualitifer,我们很快就可以写出一个primitive。 如果出现type的话,一定会出现id或num;如果出现dir,那么也会出现type,如果不出现,默认为host; 而proto可单独出现,如 tcpdump 'tcp'。
除了这三种类型的关键字之外,其他重要的关键字如下:gateway, broadcast,less,greater,还有三种逻辑运算,取非运算是 'not ' '! ', 与运算是'and','&&';或运算 是'or' ,'││';这些关键字可以组合起来构成强大的组合条件来满足人们的需要,后面举几个例子来说明。
5、逻辑组合过滤条件
通过学会写好每个 primtive,可以写出只有一个primtive的表达式,也可以把多个primitive组成一个expression,通过逻辑运算符连接起来就可以了,逻辑运算符有以下三个:
“&&” 或”and”
“||” 或“or”
“!” 或“not”
并且可通过()进行复杂的连接运算。如:
tcpdump 'ip && tcp’
tcpdump ‘ host 192.168.240.3 &&( tcp port 80 || tcp port 443)’
6、高级过滤条件
通过上面的各种primitive,我们可以写出很丰富的条件,如ip, tcp, udp,vlan等等。如IP,可以按址址进行匹,tcp/udp可以按端口匹配。但是,如果我想匹配更细的条件呢?如tcp中只含syn标志,fin标志的报文呢?上面的primitive恐怕无能为力了。不用怕,tcpdump为你提供最后一个功能最强大的primitive,记住是 primitive,而不是expression。你可以用多个这样的primitive组成更复杂的 expression。
若把这个形式记为A,那么你可这样写tcpdump 'A1 && A2 && ip src 192.168.200.1',等等。下面我们就来分析A这个形式。
形式:expr relop expr
relop表示关系操作符,可以为>, < ,>=,<=, =, !=之一,
expr是一个算术表达式,由整数组成和二元运算符(+,-,*,/,&,|, <<, >>),长度操作,报文数据访问子。同时所有的整数都是无符号的,即0x80000000 和 0xffffffff > 0。
为了访问报文中的数据,可使用如下方式:
proto [ expr : size ]
proto表示该报文类型,expr的结果表示该报文的偏移,size为可选的,表示从expr偏移量起的szie个字节,整个表达式为proto报文 中,expr起的szie字节的内容(无符号整数)
例如:
'ether[0] & 1 !=0':ether报文中第0个bit为1,即以太网广播或组播的primtive。
通过这种方式,我们可以对报文的任何一个字节进行匹配了,因此它的功能是十分强大的。
‘ip[0] = 4’:ip报文中的第一个字节为version,即匹配IPv4的报文,
'tcp[13] = 2':匹配一个syn报文,因为tcp的标志位为TCP报文的第13个字节,而syn在这个字节的低1位,故匹配只有syn标志的报文,上述条件是可满要求的,并且比较严格。
'icmp[0]=8':匹配ping命令的请求报文,因为icmp报文的第0字符表示类型,当类型值为8时表示为回显示请求。
7、助记符号
对于TCP和ICMP中常用的字节,如TCP中的标志位,ICMP中的类型,这个些偏移量有时会忘记。不过tcpdump为你提供更方便的用法,你不用记位这些数字,用字符就可以代替了。对于IP报文,没有提供字符支持,如果想匹配更细的条件,直接使用数字指字偏移量就可以了,不过要对IP报文有更深入的了解才可以。
对于ICMP报文,类型字节可以icmptype来表示它的偏称量,上面的primitive可改为'icmp[icmptype] =8',如果8也记不住怎么办?tcpdump还为该字节的值也提供了字符表示,如'icmp[icmptype] = icmp-echo'。下面是tcpdump提供的字符偏移量:
icmptype:表示icmp报文中类型字节的偏移量
icmpcode:表示icmp报文中编码字节的偏移量
ICMP中类型字节的值可以是:
icmp-echoreply, icmp-unreach, icmp-sourcequench, icmp-redi﹔ect, icmp-echo, icmp-routeradvert, icmp-routersolicit,
icmp-timxceed, icmp-paramprob, icmp-tstamp, icmp-tstam﹑reply, icmp-ireq, icmp-ireqreply, icmp-maskreq, icmp-maskreply.
tcpflags表示TCP报文中标志位字节的偏移量
TCP中标志位字节的值可以是:
tcp-fin, tcp-syn, tcp-rst, tcp-push, tcp-ack, tcp-urg.
综上,我们可以写出下面的primitive:
'tcp[tcpflags] = tcp-syn':匹配只有syn标志设置为1的 tcp报文
'tcp[tcpflags] & (tcp-syn |tcp-ack |tcp-fin) !=0':匹配含有syn,或ack或fin标志位的TCP报文
8、输出
基本上tcpdump总的的输出格式为:系统时间 来源主机.端口 > 目标主机.端口 数据包参数
例如:
bash-2.02# tcpdump
tcpdump: listening on eth0
11:58:47.873028 202.102.245.40.netbios-ns > 202.102.245.127.netbios-ns: udp 50
11:58:47.974331 0:10:7b:8:3a:56 > 1:80:c2:0:0:0 802.1d ui/C len=43
0000 0000 0080 0000 1007 cf08 0900 0000
0e80 0000 902b 4695 0980 8701 0014 0002
000f 0000 902b 4695 0008 00
11:58:48.373134 0:0:e8:5b:6d:85 > Broadcast sap e0 ui/C len=97
ffff 0060 0004 ffff ffff ffff ffff ffff
0452 ffff ffff 0000 e85b 6d85 4008 0002
0640 4d41 5354 4552 5f57 4542 0000 0000
0000 00
^C
更多例子参见后面。
[举例]
*监视第一个网络界面上所有流过的数据包:
root@quietheart:~/test#tcpdump
普通情况下,直接启动tcpdump将监视第一个网络界面上所有流过的数据包,注意这里使用超级用户。当用户上网得时候,就会将监视得数据打印出来。
*重定向输出:
root@quietheart:~/test#tcpdump -l >tcpcap.txt
将得到的数据存入tcpcap.txt文件中。
*匹配一次:
root@quietheart:~/test#tcpdump -c 1
这样就只匹配一个包,然后tcpdump就退出。
*监视指定主机收发的数据包:
root@quietheart:~/test#tcpdump host 10.126.1.13
这样将会监视第一个网络接口上所有"10.126.1.13"主机收到的和发出的所有的数据包
*监视指定主机和另外主机之间得通信:
root@quietheart:~/test#tcpdump host 10.126.1.222 and (10.126.1.1 or 10.126.1.13 )
这里将监视主机10.126.1.222和10.126.1.1或者10.126.1.13之间的通信,注意这里得括号。
*监视时排除某一主机:
root@quietheart:~/test#tcpdump ip host 10.126.1.1 and ! 10.126.1.13
这里监视10.1.6.1.1除了和10.126.1.13之外所有主机的通信。
*指定源主机和目的网络的过滤:
root@quietheart:~/test#tcpdump src host 10.126.1.222 and dst net 10.126.1.0/24
过滤的是源主机为10.126.1.222与目的网络为10.126.1.0/24的报头。
*匹配指定网络:
root@quietheart:~/test# tcpdump -i eth1 net 10.1.10.0 mask 255.255.255.0
注意这里有掩码只支持IPV4,或者使用"tcpdump 10.1.10.0/24",同样这个格式只对IPV4有用。
*监视指定主机指定协议的包:
root@quietheart:~/test#tcpdump ip host 10.126.1.13
这里监视主机10.126.1.13收发的所有ip包。
*监视指定主机和端口的数据包:
root@quietheart:~/test#tcpdump -i eth0 host 10.126.1.1 and port 80
这里会监视10.126.1.1端口80的TCP或UDP数据包,那么执行以下命令:
*监视指定方向和接口的包1:
root@quietheart:~/test#tcpdump -i eth0 src host 10.126.1.222
这样会监视10.126.1.222发送的,eth0上面的包。
*监视指定方向和接口的包2:
root@quietheart:~/test#tcpdump -i eth0 dst host 10.126.1.222
这样会监视10.126.1.222接收的,eth0上面的包。
*监视指定链路层信息:
root@quietheart:~/test#tcpdump -b arp
这里,将只显示网络中的arp即地址转换协议信息。
*过滤源主机mac为00:50:04:BA:9B的报头:
root@quietheart:~/test#tcpdump ether src 00:24:7e:03:62:14
这里,我们可以使用ifconfig查看本地主机的mac,使用arp -n来查看本地已知其他主机的mac。
*过滤源主机为10.126.1.222目的主机端口不是telnet的报文:
root@quietheart:~/test#tcpdump src host 10.126.1.222 and dst port not telnet
*匹配ether包:
root@quietheart:~/test#tcpdump -i eth1 'ether src 00:24:7e:03:62:14'
这里将会在eth1上面监听来自mac为"00:24:7e:03:62:14"的数据包。
*监听ip广播组播数据包
root@quietheart:~/test#tcpdump 'ip dst 192.168.240.255'
这里,只需指明广播或组播地址即可。在同一个局域网的另一台主机运行"ping -b 192.168.240.255"即可发送ICMP的广播包。
*监听80端口的tcp数据包:
root@quietheart:~/test#tcpdump 'tcp dst port 80'
这里,其实一般HTTP的通信数据,只需指定匹配端口为80的条件即可。
*匹配ether广播包:
root@quietheart:~/test#tcpdump 'ether dst ff:ff:ff:ff:ff:ff'
这里,ether广播包的特征是mac全1。ether的组播包的特征是mac的最高位为1,其它位用来表示组播组编号,如果你想匹配其的多播组,知道它的组MAC地址即可。
*匹配arp包:
root@quietheart:~/test#tcpdump arp
我们可以使用"arping <ip>"产生arp请求和接收答应报文,使用"tcpdump -p 'arp'"来监视,此处-p选项是使网络工作于正常模式(非混杂模式),这样是方便查看匹配结果,我们可以使用"ssh -p 80 <ip>"或者"wget <下载地址>"来产生http包。
*匹配端口53上的udp数据包:
root@quietheart:~/test#tcpdump 'upd port 53'
实际53号端口是DNS协议所用的端口,可以用'ping -c 1 www.baidu.com'来产生DNS请求和答应。
*指定范围的匹配条件:
root@quietheart:~/test#tcpdump portrange port1-port2
这里匹配端口在port1-port2范围内的ip/tcp,ip/upd,ip6/tcp和ip6/udp数据包。
*抓取wireshark工具能够分析的包:
#tcpdump -w dumpfile.pcap
这样抓取内容存放在dumpfile.pcap中,可以用wireshark图形工具进行分析。有的说需要加-s参数,例如"tcpdump -s 0 -w dumpfile.pcap"。
[其它]
1、问题:
*监视通过指定网关的数据包:
#tcpdump gateway hostname
注意实践发现这里gateway后面需要指定主机名称,ip好像不行。匹配使用hostname作为网关的数据包,即数据报中mac地址(源或目的)为hostname,但IP报的源和目的地址不是hostname的数据包。
*截获指定端口和协议的包:
#tcpdump tcp port 23
这样会获取端口23上的tcp包(即telnet包)实践发现这里指定host会报错指定host之前加and就没有错误了即"tcpdump tcp port 23 and host 10.1.10.119",但这样只能监视到本地到10.1.10.119上的telnet,不能其他主机到10.1.10.119的。
2、其它例子
下面给出用于tcpdump抓取报文的其它的条件,有待实践。
less length
匹配长度少于等于length的报文。
greater length
匹配长度大于等于length的报文。
ip protochain protocol
匹配ip报文中protocol字段值为protocol的报文
ip6 protochain protocol
匹配ipv6报文中protocol字段值为protocol的报文,如tcpdump 'ip protochain 6 匹配ipv4网络中的TCP报文,与tcpdump 'ip && tcp'用法一样,这里的&&连接两个primitive。6是TCP协议在IP报文中的编号。
ether broadcast
匹配以太网广播报文
ether multicast
匹配以太网多播报文
ip broadcast
匹配IPv4的广播报文。也即IP地址中主机号为全0或全1的IPv4报文。
ip multicast
匹配IPv4多播报文,也就是IP地址为多播地址的报文。
ip6 multicast
匹配IPv6多播报文,即IP地址为多播地址的报文。
vlan vlan_id
匹配为vlan报文 ,且vlan号为vlan_id的报文
host 192.168.240.91 && icmp[icmptype] = icmp-echo
192.168.240.91收发的icmp-echo类型的icmp报文。
host 192.168.1.100 && vrrp
192.168.1.100并且是vrrp协议。
ether src 00:00:00:00:00:02 && ether[0] & 1 !=0
发自00:00:00:00:00:02的广播或者组播的帧。
参考资料:
http://www.linuxso.com/command/tcpdump.html
发表评论
-
VNC服务配置
2012-08-21 12:30 2432VNC服务配置 VNC (Virtual N ... -
arp
2012-08-13 13:59 1808[功能] 管理系统的arp缓存。 [描述] 用来管理系统的 ... -
使用git进行版本控制
2012-06-14 18:05 19741使用git进行版本控制 ... -
netstat
2012-05-29 16:15 1654netstat [功能] netstat是一 ... -
route
2012-05-18 14:56 1395route [-CFvnee] route [-v] [- ... -
关于存储管理中的一些概念
2011-11-17 17:49 1793关于存储管理中的一些概念 ... -
man命令
2011-10-30 09:54 1138man命令 若你想要找尋具 ... -
程序流程图绘制
2011-08-10 17:11 894dia windows http://sourceforge ... -
使用tnef打开*.dat的邮件
2011-08-10 16:06 1792有时,windows上面发送的mail是dat格式的,例如wi ... -
[转]jad反编译java
2011-08-04 11:14 1690jad 的使用方法 JAD本身 ... -
关于sizeof
2011-08-02 15:17 1270关于sizeof sizeof以字节形 ... -
wordpress备份和恢复
2011-07-14 17:42 2431wordpress备份和恢复 本文 ... -
wordpress恢复片段
2011-07-01 18:05 1170如何备份和恢复? 1,备份 假设在wordpress服务器上面 ... -
sorry I'm OoO
2011-07-01 10:41 845OOO(Out of Office)中文意思:在野;不执政; ... -
vim画图插件
2011-06-27 16:13 1325DrawIt:Vim画图插件(可在vim中画基本示意图) 还是 ... -
UML相关工具一览
2011-03-31 10:45 875http://www.umlchina.com/Tools/N ... -
解决“C compiler cannot create executables”的错误
2011-01-31 16:04 14432感觉不错的解决方法,还没有尝试过,先转载下来了。 解决“C ... -
svn 补充技巧
2010-12-03 14:07 3345http://hqlong.com/2009/02/641.h ... -
spinlock sample
2010-11-26 12:33 9342个使用spinlock的字符驱动完整例子 有待回去仔细验证 -
关于动迁
2010-10-15 16:27 1009什么是动迁?拆迁?回 ...
相关推荐
内容概要:本文详细介绍了基于TMS320F系列芯片的C2000串口读写方案及其编程器——FlashPro2000的功能特点和支持的接口模式。文中不仅涵盖了硬件连接的具体步骤,还提供了代码实例来展示Flash擦除操作,并对比了JTAG和SCI-BOOT两种模式的优缺点。此外,针对不同型号的C2000系列芯片,给出了详细的适配指导以及避免烧录过程中可能出现的问题的方法。 适合人群:从事DSP开发的技术人员,尤其是对TI公司C2000系列芯片有一定了解并希望深入了解其编程和烧录细节的人群。 使用场景及目标:适用于实验室环境下的程序调试阶段,以及生产线上的批量烧录任务。主要目的是帮助开发者选择合适的编程工具和技术手段,提高工作效率,减少因误操作导致设备损坏的风险。 其他说明:文中提供的代码片段和命令行指令可以直接用于实际项目中,同时附带了一些实用技巧,如防止芯片变砖的小贴士和自动化重试脚本,有助于解决常见的烧录难题。
汉字字库存储芯片扩展实验 # 汉字字库存储芯片扩展实验 ## 实验目的 1. 了解汉字字库的存储原理和结构 2. 掌握存储芯片扩展技术 3. 学习如何通过硬件扩展实现大容量汉字字库存储 ## 实验原理 ### 汉字字库存储基础 - 汉字通常采用点阵方式存储(如16×16、24×24、32×32点阵) - 每个汉字需要占用32字节(16×16)到128字节(32×32)不等的存储空间 - 国标GB2312-80包含6763个汉字,需要较大存储容量 ### 存储芯片扩展方法 1. **位扩展**:增加数据总线宽度 2. **字扩展**:增加存储单元数量 3. **混合扩展**:同时进行位扩展和字扩展 ## 实验设备 - 单片机开发板(如STC89C52) - 存储芯片(如27C256、29C040等) - 逻辑门电路芯片(如74HC138、74HC373等) - 示波器、万用表等测试设备 - 连接线若干 ## 实验步骤 ### 1. 单芯片汉字存储实验 1. 连接27C256 EPROM芯片到单片机系统 2. 将16×16点阵汉字字库写入芯片 3. 编写程序读取并显示汉字 ### 2. 存储芯片字扩展实验 1. 使用地址译码器(如74HC138)扩展多片27C256 2. 将完整GB2312字库分布到各芯片中 3. 编写程序实现跨芯片汉字读取 ### 3. 存储芯片位扩展实验 1. 连接两片27C256实现16位数据总线扩展 2. 优化字库存储结构,提高读取速度 3. 测试并比较扩展前后的性能差异 ## 实验代码示例(单片机部分) ```c #include <reg52.h> #include <intrins.h> // 定义存储芯片控制引脚 sbit CE = P2^7; // 片选 sbit OE = P2^6; // 输出使能 sbit
测控装备干扰源快速侦测系统设计研究.pdf
嵌入式八股文面试题库资料知识宝典-【开发】嵌入式开源项目&库&资料.zip
嵌入式八股文面试题库资料知识宝典-百度2022年嵌入式面试题.zip
少儿编程scratch项目源代码文件案例素材-空间站.zip
基于关联规则的商业银行个性化产品推荐.pdf
嵌入式八股文面试题库资料知识宝典-Linux基础使用.zip
内容概要:本文详细介绍了利用MATLAB进行轴棱锥生成贝塞尔高斯光束及环形光束光强图像的仿真研究。首先阐述了实验的背景与目标,强调了MATLAB在光学和计算科学领域的广泛应用。接着,具体描述了实验的方法与步骤,包括材料准备、仿真过程中的参数设定和光束生成代码编写。最后,对实验结果进行了深入分析,展示了贝塞尔高斯光束和环形光束的光强分布特点,验证了其光学性能的预期表现。文章还对未来的研究方向和技术改进提出了展望。 适合人群:从事光学、物理学及相关领域研究的专业人士,特别是对光束生成和光学性能分析感兴趣的科研工作者。 使用场景及目标:适用于需要进行光束生成和性能分析的实验室环境,旨在帮助研究人员更好地理解和优化光束特性和传播行为。 其他说明:本文不仅提供了详细的实验方法和步骤,还附有丰富的实验结果和数据分析,为后续研究提供了宝贵的参考资料。
内容概要:本文探讨了三电平NPC型有源电力滤波器(APF)的模型预测控制(MPC)中存在的开关频率过高问题及其解决方案。传统MPC方法会导致极高的开关频率,增加了系统的能耗和热量。通过引入滞环控制模块,可以在不大幅牺牲性能的情况下有效降低开关频率。具体来说,滞环控制通过在价值函数计算后增加一个判断条件,对状态切换进行惩罚,从而减少不必要的开关动作。实验结果显示,开关频率从4392Hz降至3242Hz,降幅达26.2%,虽然电流总谐波畸变率(THD)略有上升,但仍符合国家标准。此外,文中还提出了动态调整滞环宽度的方法,以进一步优化不同负载条件下的表现。 适合人群:从事电力电子、电力系统控制领域的研究人员和技术人员,特别是关注APF和MPC技术的人群。 使用场景及目标:适用于需要优化APF系统开关频率的研究和工程项目,旨在提高系统效率并降低成本。目标是在不影响系统性能的前提下,显著降低开关频率,减少能量损失和热管理难度。 其他说明:文章不仅提供了理论分析,还包括具体的实现代码片段,有助于读者理解和实践。同时,强调了在实际应用中需要注意的问题,如中点电位漂移等。
内容概要:本文介绍了三维POD DMD程序在处理原网格数据方面的独特优势和技术细节。首先阐述了该程序能读取结构化和非结构化网格数据及其拓扑关系,在生成模态数据过程中保持原始网格形态而不需要进行网格插值操作。接着展示了简化版本的Python代码片段,揭示了读取网格数据和生成模态数据的核心逻辑。最后提到提供的辅助学习资料如代码、视频教程、Word教程和实例数据,帮助用户深入理解并掌握该程序的应用。 适合人群:从事计算流体力学领域的研究人员和技术爱好者,尤其是那些希望提高数据处理效率的人群。 使用场景及目标:适用于需要处理复杂网格数据的研究项目,旨在简化数据处理流程,提升工作效率,同时保持数据的原始特性。 其他说明:文中不仅提供了理论性的讲解,还有具体的代码示例和丰富的学习资源,使读者可以边学边练,快速上手。
融合双向路由注意力的多尺度X光违禁品检测.pdf
嵌入式八股文面试题库资料知识宝典-Linux_Shell基础使用.zip
嵌入式八股文面试题库资料知识宝典-联发科2021武汉嵌入式软件开发.zip
基于有限体积法Godunov格式的管道泄漏检测模型研究.pdf
嵌入式八股文面试题库资料知识宝典-ARM常见面试题目.zip
基于LWR问题的无证书全同态加密方案.pdf
嵌入式八股文面试题库资料知识宝典-符坤面试经验.zip
内容概要:本文详细探讨了三电平逆变器在带不平衡负载条件下的仿真研究。主要内容包括仿真环境的搭建、不同拓扑结构的选择(如T型、I型NPC和ANPC)、延时相消法(DSC)和双二阶广义积分器(DSOGI)的正负序分离控制策略、SVPWM或SPWM调制技术的应用、双闭环PI控制以及直流均压控制。文中通过具体的参数设置(交流电压220V,直流侧电压750V)进行了详细的仿真实验,并展示了各个控制策略的效果。最终,通过仿真实验验证了所提出方法的有效性,确保了交流侧三相电压波形的对称性和电流波形的自适应调节。 适合人群:从事电力电子、电机驱动、新能源发电等领域研究的技术人员和研究人员。 使用场景及目标:适用于需要理解和掌握三电平逆变器在复杂负载条件下控制策略的研究人员和技术人员。目标是提高对三电平逆变器及其控制策略的理解,优化实际应用中的性能。 其他说明:本文不仅提供了理论分析,还包含了具体的仿真步骤和代码实现,有助于读者更好地理解和应用相关技术。
内容概要:本文介绍了如何使用Matlab/Simulink软件构建一个14自由度的四轮驱动-四轮转向(4WID-4WIS)整车动力学模型。该模型涵盖了整车纵向、横向、横摆、车身俯仰、侧倾、垂向跳动及四轮旋转和垂向自由度等多个方面,旨在全面反映车辆在不同工况下的动态行为。文中详细描述了各子系统的建模方法,包括转向系统、整车系统、悬架系统、魔术轮胎pac2002、车轮系统和PI驾驶员模块。同时,提供了Simulink源码文件、建模说明文档及相关参考资料,便于用户理解和应用。 适用人群:主要面向汽车工程师、研究人员以及对汽车动力学和Simulink建模感兴趣的学习者。 使用场景及目标:①帮助用户深入了解车辆在各种工况下的动态行为;②为车辆控制策略的制定提供理论支持和技术手段;③作为学习和研究整车动力学建模的有效工具。 其他说明:该模型采用模块化建模方法,提高了模型的清晰度和可维护性,同时也提升了建模效率。