tcpdump -s 参数用于指定最大捕获长度,不能精确指定数据包的实际长度,
tcpdump 支持protocol[x:x]表达式,用于指定某协议[起始偏移量:数值类型长度],
如指定IP包长度大于100:
tcpdump ip[2:2] > 100
此命令只会捕获IP包长度大于100字节的包,
更方便用于网络检测。
例如tcpdump抓取GET和HTTP包
tcpdump -XvvennSs 0 -i ens33 'tcp[(tcp[12]&0xf0)>>2:2]=0x4745 or tcp[(tcp[12]&0xf0)>>2:2]=0x4854' -w ./target.cap
加粗表达式表示动态计算了tcp报文的首部长度。0x4745 为"GET"前两个字母"GE",0x4854 为"HTTP"前两个字母"HT"。
ubuntu下tcpdump报错:Permission denied
sudo apt-get install apparmor-utils
解决方案如下:
先查看当前的tcpdump的模式:
grep tcpdump /sys/kernel/security/apparmor/profiles
/usr/sbin/tcpdump (enforce)
上面显示是enforce模式,所以有这个问题,把它改成complain模式:
aa-complain /usr/sbin/tcpdump ------ This will change it to complain
再次使用tcpdump 并写文件的时候就没问题了。
想在转换成enforce模式时:
aa-enforce /usr/sbin/tcpdump ----- This will renable the AppArmor profile for tcpdump