目录
tcpdump命令
Linux tcpdump命令用于倾倒网络传输数据。是一个用于截取网络分组,并输出分组内容的工具
执行tcpdump指令可列出经过指定网络界面的数据包文件头,在Linux操作系统中,你必须是系统管理员。
参数:
-a 尝试将网络和广播地址转换成名称。
-c<数据包数目> 收到指定的数据包数目后,就停止进行倾倒操作。
-d 把编译过的数据包编码转换成可阅读的格式,并倾倒到标准输出。
-dd 把编译过的数据包编码转换成C语言的格式,并倾倒到标准输出。
-ddd 把编译过的数据包编码转换成十进制数字的格式,并倾倒到标准输出。
-e 在每列倾倒资料上显示连接层级的文件头。
-f 用数字显示网际网络地址。
-F<表达文件> 指定内含表达方式的文件。
-i<网络界面> 使用指定的网络截面送出数据包。
-l 使用标准输出列的缓冲区。
-n 不把主机的网络地址转换成名字。
-N 不列出域名。
-O 不将数据包编码最佳化。
-p 不让网络界面进入混杂模式。
-q 快速输出,仅列出少数的传输协议信息。
-r<数据包文件> 从指定的文件读取数据包数据。
-s<数据包大小> 设置每个数据包的大小。
-S 用绝对而非相对数值列出TCP关联数。
-t 在每列倾倒资料上不显示时间戳记。
-tt 在每列倾倒资料上显示未经格式化的时间戳记。
-T<数据包类型> 强制将表达方式所指定的数据包转译成设置的数据包类型。
-v 详细显示指令执行过程。
-vv 更详细显示指令执行过程。
-x 用十六进制字码列出数据包资料。
-w<数据包文件> 把数据包数据写入指定的文件。
实例
1.监控指定网络接口的数据包
tcpdump -i eth0
2.截获主机node1 发送的所有数据
tcpdump -i eth0 src host hadoop
3.监视所有发送到主机node1 的数据包
tcpdump -i eth0 dst host hadoop
4.监视指定主机和端口的数据包
tcpdump -i eth0 port 8080 and host hadoop
5.指定间隔保存
tcpdump -i eth0 -s0 -G 600 -w %Y%m%d%H%M%S.pcap
-G 600 600s保存一次 -i 指定网卡 -s -w 保存文件的格式
6.指定大小保存
tcpdump -i eth0 -s0 -C10 -Z root -w eth0.pcap
-C 10每10M保存一个包