网络抓包工具 tcpdump 的用法

网络抓包工具 tcpdump 的用法

用简单的话来定义tcpdump,就是:dump the traffic on a network,根据使用者的定义对网络上的数据包进行截获的包分析工具。 tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。

tcpdump提供了很多的命令选项,在这里我只简单介绍几个:

-A:将每个数据包以美国信息互换标准代码ASCII的格式打印出来。
-c N:如果这个N是一个数字,这个选项表示tcpdump将在N个数据包后退出。
-i interface:捕获指定网络端口的数据包。
-n:不将地址进行解析。
-q:提供较少的(“安静”)输出,这样的输出路线会比较短。
-r filename <文件名>:从指定的文件而不是网络端口读取数据包。它经常用在数据已经被记录到文件中的情况,需要和-w的选项共同使用。
-t:在输出每一行的时间不打印时间戳。
-v:提供更详细的输出。V可以增加,象-VV、甚至-VVV。
-w filename <文件名>:将数据包写到指定的文件中。

【用例】

1. 如果不带任何参数直接启动tcpdump,一般将监视第一个网络接口上所有流过的数据包。如下:
# tcpdump

2. 监视指定网络接口的数据包
# tcpdump -i eth1

3. 监视指定IP(或者说指定主机)的数据包
例如截获所有210.27.48.1主机收到的和发出的所有的数据包:
# tcpdump host 210.27.48.1

4. 抓取端口号为6025的TCP报文内容并写入 a.cap 文件里。
$ tcpdump tcp -A  port 6025 -w a.cap

创建的a.cap是二进制文件,可以用专门的工具阅读,更简单的方法用VIM阅读,用VIM打开文件后,执行":%!xxd"命令阅读,详细参阅博文“用VIM阅读二进制文件”。





评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值