tcpdump常用的命令参数
-i 接网络接口
-nn 不将端口转化成相应的协议名称,比如只显示21,不显示ftp
-X 打印协议头和包内容,会显示16进制和ASII形式
port + 端口
-c 抓几个包
-e 显示以太网帧的头部
-l 行缓冲模式一般后面接管道命令 例如 tcpdump -i eth0 -l |awk '{print $1}'
-F 指定过滤表达式所在的文件,例如 cat guolu.txt 内容为 port 21 然后 tcpdump -i eth0 -c 1 -t -F guolu.txt
-w 将结果保存到某个文件中,由于保存的是原始数据包,查看方式为tcpdump -r file.txt
举例:
tcpdump -i eth0 -c 10 'udp' 查看udp 的数据包
tcpdump -i eth0 'dst 114.114.114.114' 查看目的地址是114.114.114.114的包
tcpdump -i eth0 'port ftp or ftp-data' 查看使用ftp端口和ftp数据端口的网络包
tcpdump 'ip[2:2] >576' 查看IP包长度超过576的网络包,其中ip[2:2]表示偏移2位提取后面的两个字节,proto[偏移量:提取的字节数]