前期准备
要想学会tcpdump,最起码需要对tcp/ip协议有一定了解,比如tcp三次握手,相关只是可以看看《计算机网络》或者《TCP/IP详解》。
tcpdump使用格式
格式:
tcpdump [ -AbdDefhHIJKlLnNOpqRStuUvxX ] [ -B buffer_size ] [ -c count ]
[ -C file_size ] [ -G rotate_seconds ] [ -F file ]
[ -i interface ] [ -j tstamp_type ] [ -m module ] [ -M secret ]
[ -P in|out|inout ]
[ -r file ] [ -V file ] [ -s snaplen ] [ -T type ] [ -w file ]
[ -W filecount ]
[ -E spi@ipaddr algo:secret,… ]
[ -y datalinktype ] [ -z postrotate-command ] [ -Z user ]
[ expression ]
常用参数说明:
-X:除了输出每个数据包外,还以16进制的方式输出内容
-n:不要把ip地址转换成域名
-s:显示绝对序列号
-i any:监听哪个网卡
-t 不显示时间戳
-v 详细显示命令执行过程 -vv更详细
-N 不列出域名
看着参数比较多,比较复杂,但真是不会用到那么多,只掌握几个常用的就行,后面有具体案例。总结起来就是:
tcpdump 参数 表达式