简单学习了一下这个软件哈:
tcpdump [-nn] [-i 接口] [-w 储存档名] [-c 次数] [-Ae]
[-qX] [-r 文件] [所欲捕获的数据内容]
参数:
-nn,直接以 IP 及 Port Number 显示,而非主机名与服务名称。
-i,后面接要「监听」的网络接口,例如 eth0, lo, ppp0 等等的接口。
-w,如果你要将监听所得的数据包数据储存下来,用这个参数就对了。后面接文件名。
-c,监听的数据包数,如果没有这个参数, tcpdump 会持续不断的监听,
直到用户输入 [ctrl]-c 为止。
-A,数据包的内容以 ASCII 显示,通常用来捉取 WWW 的网页数据包资料。
-e,使用资料连接层 (OSI 第二层) 的 MAC 数据包数据来显示。
-q,仅列出较为简短的数据包信息,每一行的内容比较精简。
-X,可以列出十六进制 (hex) 以及 ASCII 的数据包内容,对于监听数据包内容很有用。
-r,从后面接的文件将数据包数据读出来。那个「文件」是已经存在的文件,
并且这个「文件」是由 -w 所制作出来的。
事例:使用:
tcpdump -i eth1 port 21 -nn -X
返回函数
14:54:46.779073 IP 192.168.200.200.4268 > 210.26.24.56.21: P 1163670700:1163670706(6) ack 2259817891 win 64501
0x0000: 4500 002e 4013 4000 8006 46f3 c0a8 c8c8 E...@.@...F.....
0x0010: d21a 1838 10ac 0015 455c 34ac 86b2 15a3 ...8....E/4.....
0x0020: 5018 fbf5 2e04 0000 6e6f 6f70 0d0a P.......noop..
14:54:46.779313 IP 210.26.24.56.21 > 192.168.200.200.4268: P 1:13(12) ack 6 win 5840
0x0000: 4510 0034 34b2 4000 3f06 9