tcpdump使用方法

常用使用方法

01 默认启动

tcpdump
#默认情况下，直接启动tcpdump将监视第一个网络接口(非lo口)上所有流通的数据包。这样抓取的结果会非常多，滚动非常快。

02 监视指定网络接口的数据包

tcpdump -i eth1
如果不指定网卡，默认tcpdump只会监视第一个网络接口，如eth0。

03 截获主机 hostname发送的所有数据

tcpdump src host hostname

04 监视所有 发送到主机hostname的数据包

tcpdump dst host hostname

05 监视指定主机和端口的数据包

tcpdump tcp port 22 and host hostname

06 对本机的udp 123端口进行监视(123为ntp的服务端口)

tcpdump udp port 123

07 监视指定网络的数据包

如本机与192.168网段通信的数据包，"-c 10"表示只抓取10个包
tcpdump -c 10 net 192.168

08 打印所有通过网关snup的ftp数据包

(注意,表达式被单引号括起来了,这可以防止shell对其中的括号进行错误解析)
shell> tcpdump 'gateway snup and (port ftp or ftp-data)'

09 抓取ping包

[root@server2 ~]# tcpdump -c 5 -nn -i eth0 icmp 
明确要抓取主机为192.168.100.70对本机的ping，则使用and操作符。
[root@server2 ~]# tcpdump -c 5 -nn -i eth0 icmp and src 192.168.100.62
注意不能直接写icmp src 192.168.100.70，因为icmp协议不支持直接应用host这个type。

10 抓取到本机22端口包

[root@server2 ~]# tcpdump -c 10 -nn -i eth0 tcp dst port 22  

11 解析包数据

[root@server2 ~]# tcpdump -c 2 -q -XX -vvv -nn -i eth0 tcp dst port 22

参考
https://mp.weixin.qq.com/s/9pdXJdAOM0wNc4sCICCaEA
https://mp.weixin.qq.com/s/9cYjpJ-U7NEIbc5vLoAEoQ