(1)tcpdump是乙個用於擷取網路分組,並輸出分組內容的工具,tcpdump具有強大的功能和靈活的擷取策略,使其成為unix系統下用於網路分析和問題排查的首選工具。
(2)tcpdump必須在root許可權下執行,用來獲取網路上的資訊。
(3)tcpdump可以將網路中傳送的資料報的「頭」完全截獲下來提供分析。它支援針對網路層、協議、主機、網路或埠的過濾,並提供and、or、not等邏輯語句來幫助你去掉無用的資訊。
引數含義
-a以ascii格式列印出所有分組,通常抓取www的網頁資料報資料。
-c在收到指定的數量的分組後,tcpdump就會停止。
-d將匹配資訊包的**以彙編形式給出。
-dd將匹配資訊包的**以c語言形式給出。
-e在輸出行列印出資料鏈路層的頭部資訊,也就是使用資料鏈路層的mac資料報資料來顯示.
-i指定監聽的網路介面。
-vv輸出詳細的報文資訊。
-w直接將分組寫入檔案中,而不是不分析並列印出來。
-x可以列出16進製制以及ascii的資料報內容,對於監聽資料報內容很有用。
示例:
tcpdump -ntv
-i ***
-n表示不將網路位址轉化為名稱,-t不輸出時間戳,-v輸出詳細資訊。
(1)tcpdump利用它作為過濾報文的條件,如果乙個報文滿足表 達式的條件,則這個報文將會**獲。如果沒有給出任何條件,則網路上所有的資訊包 將會被截獲。
(2)表示式由乙個或多個表達元(組成表示式的基本元素)組成. 乙個表達元通常由乙個或多個修飾符(qualifiers)後跟乙個名字或數字表示的 id組成( 即, qualifiers id).
(3)修飾符: type, dir以及 proto.
type
指定id 所代表的物件型別, host, net, port 以及portrange。
host foo, net 128.3, port 20, portrange 6000-6008
分別表示主機 foo, 網路 128.3, 埠 20, 埠範圍 6000-6008.
如果不指定type修飾符, id預設的修飾符為host.
dir
描述 id 所對應的傳輸方向, 即發往 id 還是從 id 接收,可取的方向為: src, dst, src or dst, src and dst.(nt:分別表示, id是傳輸源, id是傳輸目的, id是傳輸源或者傳輸目的, id是傳輸源並且是傳輸目的).
src foo,dst net 128.3, src or dst port ftp-data.
分別表示符合條件的資料報中, 源主機是 foo, 目的網路是 128.3, 源或目的埠為 ftp-data.
如果不指定 dir修飾符, id 預設的修飾符為 src or dst.
proto
描述id所屬的協議. 常用的協議有: ether, wlan, ip, ip6, arp, rarp, tcp以及 upd.
ether src foo, arp net 128.3, tcp port
21, udp portrange 7000-7009
分別表示: 從乙太網位址foo來的資料報, 發往或來自128.3網路的arp協議資料報, 傳送或接收埠為21的tcp協議資料報, 傳送或接收埠範圍為7000-7009的udp協議資料報.
示例
src foo 含義是 (ip or arp or rarp) src foo (nt: 即, 來自主機 foo的 ip/arp/rarp協議資料報, 預設 type為 host).
net bar 含義是 (ip or arp or rarp) net bar (nt: 即, 來自或發往 bar網路的 ip/arp/rarp協議資料報).
port
53 含義是 (tcp or udp) port
53(nt: 即, 傳送或接收埠為 53的 tcp/udp協議資料報).
tcpdump 抓包工具使用
tcpdump抓包引數 a以ascii列印 n不現實名稱位址,顯示主機ip埠 s抓取得每個資料報的長度 i指定網絡卡 特殊的網絡卡特殊的網絡卡 w指定檔案儲存的路徑 nn 不把網路ip和埠號轉成名字 檢視tcpdump可以抓包的網路網絡卡 tcpdump d 抓取指定埠的資料報,並且儲存檔案,用wi...
Linux 抓包工具tcpdump
1 操作命令 埠抓包 tcpdump i eth0 port 8082 s 0 w query.cap v ip抓包 tcpdump i eth0 host 192.168.1.111 s 0 w query.cap v eth0是網絡卡,如果是幾個模組在同一伺服器上,可以直接用lo,儲存在cap檔...
tcpdump抓包工具使用
安裝 yum y install tcpdump 基本用法 抓取網口eth0流量包 tcpdump i eth0 nnv 指定抓取100個包 tcpdump i eth0 nnv c 100 把抓包輸出寫入檔案 tcpdump i eth0 nnv w file1.tcpdump 讀取 tcpdum...