本文参考网络中其他博客文章,根据自己使用整理归纳
参考资料网址:http://blog.csdn.net/s_k_yliu/article/details/6665673/
http://blog.csdn.net/hzhsan/article/details/43453251
http://www.360doc.com/content/13/0702/10/1073512_297069771.shtml
一 Linux tcpdump 命令
1 可能常用的参数
-i 指定进行抓包的网口 例如 -i eth0
host 指定IP,不区分源目的IP
src host 指定源IP
dst host 指定目的IP
port 指定端口
port 指定端口,不区分源目的端口
src port 指定源端口
dst port 指定目的端口
-t 不在每一行输出时间戳
-tt 在每一行输出非格式化的时间戳
-ttt 每行输出与上一行的间隔时间
-tttt 每行输出date的时间戳
-vv (两个v) 输出更加详细的报文信息
-nnl 直接以 IP 及 Port Number 显示,而非主机名与服务名称。
-w 将抓包数据写入文件,写成 .pcap格式,拉到windows下,wireshark直接可以读取解析
-e 打印数据链路层的信息 如mac地址
2 用例
# 抓取eth0 网口 源或者目的ip有192.168.8.45的并且port有7795的通信包,并把数据写入