Tcpdump抓包工具

tcpdump工具 选项 -c +数字  -----指定要抓取包的数量，如果不指定数字，则会一直抓取直到输入Ctrl+c -nn -----直接以IP和端口号来显示，而非主机名和服务名称 -w -----将抓取的数据包保存到指定的文件内。后面加文件名 -i ----- 抓取指定网络接口的数据包，后面跟网络接口。 -A----- 将抓取的数据包以ASCII的形式显示，一般用来抓取WWW数据包。 -e ----- 将抓取的数据包以MAC数据包的形式显示。可显示MAC地址。 -q -----抓取较为精简的数据包 -X-----将抓取的数据包以16进制和ASCII的形式显示。 -r -----读取文件内的数据包。后面跟文件，这个文件必须是由-w选项创造的。 除去这么多选项外，还可以 指定抓取的对象。如指定 host  ----- 主机 net ----- 网络 port ----- 端口 还可以指定抓取的方向 dst ----目的 src -----源 dst and src -----目的和源 dst or src -----目的或源 还可以指定协议： gateway ----- 指定网关 ether ----- 指定MAC地址 arp rarp tcp  udp ip 等等。 三个运算 与 “and”“&&” 或  “or”  “||” 非 “not” “！” 上面这些组合可以搭配使用。 如： tcpdump ether src host 60:57:18:4f:de:b8 抓取源主机MAC地址为60:57:18:4f:de:b8的所有报文 tcpdump arp dst and src 192.168.3.221 抓取源IP和目的IP都是192.168.3.221的arp报文。 tcpdump ip dst 192.168.3.221 not src 192.168.3.12 抓取目标IP为192.168.3.221的IP报文但不包括源IP为192.168.3.12的IP报文。 除了tcpdump这个抓包工具之外，还有个抓包工具叫tcpflow。tcpdump是以数据包为单位进行抓包，而tcpflow是以流为单位进行抓包并显示，我们经常赢tcpflow来抓取http协议的数据包。