tcpdump是linux下功能強大的截幀工具,相當於windows下的wireshark一下,只是操作方式是命令列的,需要熟悉linux命令列操作。
下面列出了tcpdump的常用引數:
tcpdump表示式用來設定哪些資料報被列印到命令列,如果不設定過濾表示式網路上所有**獲的包都會被列印,否則, 只有滿足條件表示式的資料報被列印。
在表示式中一般有如下幾種型別的關鍵字
表示式的基本格式為協議+[傳輸方向]+型別+ 具體數值,具體使用請看例項。
ip src host 192.168.0.1
tcp port 1883
tcpdump -i any抓取埠1883的資料報
tcp dump -i eth0 port 1883 # 1883 埠的所有資料報
tcp dump -i eth0 tcp port 1883 # 1883 埠的所有tcp資料報
tcp dump -i eth0 udp port 1883 # 1883 埠的所有udp資料報
抓取源 ip 是 172.30.20.10 的資料報
tcpdump -i eth0 src host 172.30.20.10抓取目的位址是172.30.20.10的資料報
tcpdump -i eth0 dst host 172.30.20.10抓取源 ip 是172.30.20.10 且目的埠是 22 的資料報
tcpdump -i eth0 src host172.30.20.10 and dst port 22抓取源 ip 是172.30.20.10 且目的埠是 22 的資料報
tcpdump -i eth0 -vnn src host 172.30.20.10 or port 22抓取源 ip 是172.30.20.10 且目的埠不是 22 的資料報
tcpdump -i eth0 -vnn src host 172.30.20.10 and not port 22抓取網絡卡eth0的資料報並儲存到檔案
tcpdump -i eth0 -w data.cap抓取網絡卡eth0的 100 條資料並儲存到檔案
tcpdump -i eth0 -c 100 -w data.cap抓取ip協議的資料報
tcpdump -i eth0 iptcpdump截幀工具使用
tcpdump是linux下功能強大的截幀工具,相當於windows下的wireshark一下,只是操作方式是命令列的,需要熟悉linux命令列操作。下面列出了tcpdump的常用引數 tcpdump表示式用來設定哪些資料報被列印到命令列,如果不設定過濾表示式網路上所有 獲的包都會被列印,否則,只有...
tcpdump 截包分析工具
tcpdump dump the traffic on a network tcpdump 啟動後預設監控eno1 tcpdump i eno3 列印所有進入或離開sundown的資料報.tcpdump host sundown 也可以指定ip,例如截獲所有210.27.48.1 的主機收到的和發出...
Ubuntu使用tcpdump工具
ubuntu預設是安裝好了tcpdump工具的,如果沒有安裝的話使用sudo apt get install tcpdump即可安裝。如果遇到tcpdump no suitable device found的問題,檢查一下是不是在用root許可權執行tcpdump,tcpdump只能在root許可權...