語法範例:
tcpdump -vv -i ens3 '((tcp)&&(host 183.239.240.48)&&(port 3001))' -c 100 -w 12.cap
tcpdump -vv -i eth0 '((tcp)&&(src host 10.67.37.26)&&(dst port 9300))' -c 1000 -w 12.cap
-i表示指定網路裝置
後面的字串是規則,規則通常這麼拼接:
非 : ! or "not"且 : && or "and"
或 : || or "or"
規則語句有這些:
協議類:
arp,ip,tcp,udp,icmp
位址類:
host:源或目標ip
dst host:目標ip
src host:源ip
port:源或目標埠.(有dst host , src host,含義同上)
net:指定網路.(也有dst net ,src net)
按照包長:
less 100 表示少於100
greater 100 表示大於100
高階過濾:
根據ip包頭:
ip[0]>5
從ip包頭取包大小(2bytes),判斷:
ip[2:2]>600
tcp包頭也能取大小:
tcp[0:2]
攔截http(並不一定能成功,因為頭長度不固定):
0x4745 為"get"前兩個字母"ge"
0x4854 為"http"前兩個字母"ht"
tcp[20:2]=0x4745 or tcp[20:2]=0x4854
可以通過-c引數指定抓多少個包,然後用"-w"放到文字檔案
tcpdump使用詳解
tcpdump採用命令列方式,它的命令格式為 tcpdump adeflnnopqstvx c 數量 f 檔名 i 網路介面 r 檔名 s snaplen t 型別 w 檔名 表示式 1.tcpdump的選項介紹 a 將網路位址和廣播位址轉變成名字 d 將匹配資訊包的 以人們能夠理解的彙編格式給出 ...
tcpdump 日常使用
使用 i引數指定tcpdump監聽的網路介面,這在計算機具有多個網路介面時非常有用,使用 c引數指定要監聽的資料報數量,使用 w引數指定將監聽到的資料報寫入檔案中儲存 a想要截獲所有210.27.48.1 的主機收到的和發出的所有的資料報 tcpdump host 210.27.48.1 b想要截獲...
tcpdump 使用介紹
tcpdump 工具簡介 tcpdump 工具簡介1 定義 用簡單的話來定義 tcpdump 就是 dump the traffic on a network 根據使用者的定義對網路上的資料報進行截獲的包分析工具 2 功能 它支援針對網路層 協議 主機 網路或埠的過濾,並提供 and or not等...