转载地址:http://blog.csdn.net/kzjay/article/details/5930299
1. 输出到文件中
tcpdump -w tcpdump.log -s 0 -i eth0 tcp and port not 22 and host mycentos
2. 读入并分析
tcpdump -r tcpdump.log -nn -t -XX | less
参数可分为两组,dump时的参数和显示时的参数,如同tcpdump的工作方式
dump参数:
-w 将截取的IP包输出到一个文件里,文件大小和个数的归规则亦可指定
-c 截取到一定量的packet后停止,很有用
-i 指定监听的网卡
-s 0 截取全部数据包(不然它会丢掉过头的用户数据)
归规表达式。。。。
显示参数:
-r 从刚才dump的packet包文件中重新读入
-nn 显示IP和PORT
-t 不显示时间
-XX 显示数据内容