下面的例子全是以抓取 eth0 介面為例,如果不加」-i eth0」 是表示抓取所有的介面包括 lo
1234567
891011
1213
1415
1617
1819
2021
2223
2425
2627
2829
3031
3233
3435
3637
3839
4041
4243
# 抓取包含 172.16.1.122 的資料報tcpdump -i eth0 -vnn host 172.16.1.122
# 抓取包含 172.16.1.0/24 網段的資料報
tcpdump -i eth0 -vnn net 172.16.1.0/24
# 抓取包含埠 22 的資料報
tcpdump -i eth0 -vnn port 22
# 抓取 udp 協議的資料報
tcpdump -i eth0 -vnn udp
# 抓取 icmp 協議的資料報
tcpdump -i eth0 -vnn icmp
# 抓取 arp 協議的資料報
tcpdump -i eth0 -vnn arp
# 抓取 ip 協議的資料報
tcpdump -i eth0 -vnn ip
# 抓取源 ip 是 172.16.1.122 資料報。
tcpdump -i eth0 -vnn src host 172.16.1.122
# 抓取目的 ip 是 172.16.1.122 資料報
tcpdump -i eth0 -vnn dst host 172.16.1.122
# 抓取源埠是 22 的資料報
tcpdump -i eth0 -vnn src port 22
# 抓取源 ip 是 172.16.1.253 且目的 ip 是 22 的資料報
tcpdump -i eth0 -vnn src host 172.16.1.253 and dst port 22
# 抓取源 ip 是 172.16.1.122 或者包含埠是 22 的資料報
tcpdump -i eth0 -vnn src host 172.16.1.122 or port 22
# 抓取源 ip 是 172.16.1.122 且埠不是 22 的資料報
tcpdump -i eth0 -vnn src host 172.16.1.122 and not port 22
# 抓取源 ip 是 172.16.1.2 且目的埠是 22,或源 ip 是 172.16.1.65 且目的埠是 80 的資料報。
tcpdump -i eth0 -vnn \( src host 172.16.1.2 and dst port 22 \) or \( src host 172.16.1.65 and dst port 80 \)
# 抓取源 ip 是 172.16.1.59 且目的埠是 22,或源 ip 是 172.16.1.68 且目的埠是 80 的資料報。
tcpdump -i eth0 -vnn 'src host 172.16.1.59 and dst port 22' or 'src host 172.16.1.68 and dst port 80'
# 把抓取的資料報記錄存到 / tmp/fill 檔案中,當抓取 100 個資料報後就退出程式。
tcpdump –i eth0 -vnn -w /tmp/fil1 -c 100
# 從 / tmp/fill 記錄中讀取 tcp 協議的資料報
tcpdump –i eth0 -vnn -r /tmp/fil1 tcp
# 從 / tmp/fill 記錄中讀取包含 172.16.1.58 的資料報
tcpdump –i eth0 -vnn -r /tmp/fil1 host 172.16.1.58
# 抓取目的位址範圍是 10 網段
tcpdump -i any -nn 'ip[16] == 10'
# 抓取目的位址範圍是 192.168.1.10 ~ 192.168.1.100
tcpdump -i any -nn 'ip[16] == 192 and ip[17] == 168 and ip[18] == 1 and ip[19] > 9 and ip[19] < 101'
# 儲存 10000 個資料報過濾條件為 443 埠,並解析** ip
tcpdump -i any -nn -c 10000 port 443 > tcpdump.log
cat tcpdump.log | awk '' |awk -f '.' ''| sort | uniq -c | sort -rn
Tcpdump抓包命令使用
tcpdump命令需要使用root執行 檢視網絡卡命令 ifconfig 監視編址到指定埠的tcp或udp資料報,那麼執行以下命令 tcpdump i eth0 host 10.43.159.11 and port 8983 輸出資訊到檔案 tcpdump i eth0 host 10.43.159...
pfsense使用tcpdump抓包
前言 pfsense自帶有tcpdump抓包工具,根據版本的不同,區別在於老版本的可能不支援某些tcpdump的引數。使用之前可以檢視tcpdump help檢視支援的引數,在進一步進行配置。一 登入pfsense的web介面,開啟ssh。二 防火牆放行ssh。三 使用putty登入pfsense,...
使用 tcpdump 工具抓包
tcpdump 是一款 linux 平台的網路資料報截獲和分析工具,支援針對協議 主機 網口 埠等進行過濾。並且可以使用 and or not 等邏輯語句對過濾器進行組合,實現針對性截獲。使用 i 引數指定監聽的網口。不指定預設監聽第乙個 所以通常來講,這個引數都需要指定,因為不指定很可能抓不到,而...