-
tcpdump 是监听所有端口的操作,其中所加的任何限制条件都是在这个基础上进行的。
-
保存文件: -w 路径,表示保存截取的报文(不会显示在终端)
-
-c 20 表示只监听20 个数据包就行。
-
tcpdump -i 端口号 : 表示只监视某个端口的数据包。
-
tcpdump host IP :表示监听某个主机收到和发出的所有数据包、(IP号表示主机号)
-
-n参数:表示不做端口解析(如解析显示192.168.252.100:https,加上-n参数后只显示192.168.252.100:443)。
-
-r 文件:可以读取已经保存的文件。
-
-tttt(4个),可以显示详细的时间(年-月-日,时-分-秒)(有趣的是t的数量不同最后显示的时间不同)
-
支持的协议:arp、ip、ipv6、arp、tcp、udp、wlan。
-
dst IP 表示以这个目的地址作为过滤。
-
-vvv可以显示包的详细内容(如LACP可以显示)但是ICMP不能?(-vvv能对内容进行解析)
-
-x就是显示完整的16进制表示的0101原始数据(不做解析)
-
-
使用举例:
-
显示所有从A经过的数据包
tcpdump host A -
显示“A和B”或者“A和C” 之间的流量
tcpdump host A and \( B or C \)-
显示A除了和B之外的所有IP数据包
tcpdump ip host A and not B
-
-