tcpdump -Xnns 2048 host 192.168.109.2 and tcp port 80 or port 443 -w /aclog/zwj.pcap
- -n 不转换主机地址为主机名,这样可以避免DNS查找
- -nn 在上面的基础上不进行端口名字别名的转换
- -S 打印绝对的TCP时序数字(sequence number)
- -X 以16进制和ASCII两种方式打印抓取到的数据包
- -s 指定从每一个TCP数据包的抓取多少字节,默认从每一个TCP数据包中抓取68字节,最多为65536字节。本例中为2048字节。(这个很重要,好像默认只有1024,导致很多包抓不下来)。
- -w 写入到某个文件中。
tcpdump -i ens39 -nn -X 'port 22' -c 1
-i : 即interface,用来指定网络接口,指定监控的网卡。
-nn : 当tcpdump遇到协议号或端口号时,不要将这些数字转换成对应的协议名称或端口名称。比如:希望显示 22 ,而不是 ssh。
-X :需要把协议头和包内容都原原本本地显示出来,tcpdump会同时以16进制和ASCII的形式显示,这在进行协议分析时是绝对的利器。
port 22 : 只抓取源端口或目的端口是22的数据包,其他的数据包就不要显示出来。
-c : 是Count含义,设置抓取的包数。