Tcpdump工具是Unix和Linux系统抓网络数据库包最有效的工具,windows上类似的工具是wireshark。 tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。另外tcpdump可以导入的文件中,可以进一步使用wireshark和Java代码进一步统计过滤分析。该命令需要root权限,命令会自动把网卡设置为混杂(promiscuous)状态.
一、tcpdump使用
1、抓取回环网口的包:
# tcpdump -i lo
2、防止包截断:
# tcpdump -s0
例如:抓wlan0的包
# tcpdump -i wlan0 -vv -s0 -w ss.pcap
3、以数字显示主机及端口:
# tcpdump -n
4、抓取所有经过wlan0网卡的数据包,并且目标的ip地址是10.100.13.95
# tcpdump -i wlan0 -vv -s0 ether dst host f4:0f:24:2f:4d:85 and dst net 10.100.13.95 -w ssid.pcap