常用選項:
-s :指定監聽的資料報大小。
-c:指定要抓取的包的最終數量。
-i:指定tcpdump要監聽的介面。
-n:對位址以數字方式顯式,否則顯式為主機名,也就是說-n選項不做主機名解析。
-nn:除了-n之外,還把埠顯示為數值。
-w:指定監聽資料報寫入檔案。
常用輸出項:
-xx:以16進製制和ascii方式輸出包的頭部資料。
-vvv:很詳細的輸出(想要詳細的資訊加上去就行)。
-q:快速列印輸出。
其他功能選項:
-d:列出可用於抓包的介面。(eth0、any、lo等)
tcpdump表示式:
基本表示式為:
proto dir + type id
proto:
tcp、udp、arp、icmp、ip、ether等。未指定則匹配所有可能。
dir:
src、dst、src or dst、src and dst。預設為src or dst。
type:
host、net、port等。
常用的例子:
1.抓主機上環迴的包
tcpdump -i lo
2.抓主機hostname傳送的所有資料
tcpdump src host hostname
3.監視所有發到主機hostname的資料報
tcpdump dst host hostname
4.抓指定數量(10個)的ping包
tcpdump -c 10 -nn -i eth0 icmp
5.對某個埠進行監視
tcpdump tcp(協議,不填則匹配所有) port 22(埠號)
6.解析資料報
tcpdump -c 10 -xx -vvv -nn -i eth0
高階用法:(結合tcp頭部結構來精確設定對應的位)
1.如果要監聽某幾台主機資料報 例如10.10.10.10、20.20.20.20、30.30.30.30
tcpdump host 10.10.10.10 and (20.20.20.20 or 30.30.30.30)
2.如果想要獲取主機210.27.48.1除了和主機210.27.48.2之外所有主機通訊的ip包
tcpdump ip host 210.27.48.1 and ! 210.27.48.2**重點內容**
3.如果獲取10.10.10.10:80發出去的資料報
tcpdump -i eth0 src host 10.10.10.10 and src port 80
4.如果獲取發往10.10.10.10:80的資料報
tcpdump -i eth0 dst host 10.10.10.10 and dst port 80
5.只抓取syn包
tcpdump -i eth0 tcp[13]==2
6.只抓取fin包
tcpdump -i eth2 tcp[13]==1
7.只抓取synack包
tcpdump -i eth2 tcp[13]==18
8.抓取10.10.10.10:80的syn、synack包
tcpdump -i eth2 tcp[13]==2 or tcp[13]==18 and port 80 and host 10.10.10.10
tcpdump抓包工具
1 tcpdump是乙個用於擷取網路分組,並輸出分組內容的工具,tcpdump具有強大的功能和靈活的擷取策略,使其成為unix系統下用於網路分析和問題排查的首選工具。2 tcpdump必須在root許可權下執行,用來獲取網路上的資訊。3 tcpdump可以將網路中傳送的資料報的 頭 完全截獲下來提供...
tcpdump 抓包工具使用
tcpdump抓包引數 a以ascii列印 n不現實名稱位址,顯示主機ip埠 s抓取得每個資料報的長度 i指定網絡卡 特殊的網絡卡特殊的網絡卡 w指定檔案儲存的路徑 nn 不把網路ip和埠號轉成名字 檢視tcpdump可以抓包的網路網絡卡 tcpdump d 抓取指定埠的資料報,並且儲存檔案,用wi...
Linux 抓包工具tcpdump
1 操作命令 埠抓包 tcpdump i eth0 port 8082 s 0 w query.cap v ip抓包 tcpdump i eth0 host 192.168.1.111 s 0 w query.cap v eth0是網絡卡,如果是幾個模組在同一伺服器上,可以直接用lo,儲存在cap檔...