首先是摘自鸟哥的介绍:http://vbird.dic.ksu.edu.tw/linux_server/0140networkcommand_5.php
[root@www ~]# tcpdump [-AennqX] [-i 接口] [-w 储存档名] [-c 次数] \
[-r 档案] [所欲撷取的封包数据格式]
选项与参数:
-A :封包的内容以 ASCII 显示,通常用来捉取 WWW 的网页封包资料。
-e :使用资料连接层 (OSI 第二层) 的 MAC 封包数据来显示;
-nn:直接以 IP 及 port number 显示,而非主机名与服务名称
-q :仅列出较为简短的封包信息,每一行的内容比较精简
-X :可以列出十六进制 (hex) 以及 ASCII 的封包内容,对于监听封包内容很有用
-i :后面接要『监听』的网络接口,例如 eth0, lo, ppp0 等等的界面;
-w :如果你要将监听所得的封包数据储存下来,用这个参数就对了!后面接档名
-r :从后面接的档案将封包数据读出来。那个『档案』是已经存在的档案,
并且这个『档案』是由 -w 所制作出来的。
-c :监听的封包数,如果没有这个参数, tcpdump 会持续不断的监听,
直到使用者输入 [ctrl]-c 为止。
所欲撷取的封包数据格式:我们可以专门针对某些通讯协议或者是 IP 来源进行封包撷取,
那就可以简化输出的结果,并取得最有用的信息。常见的表示方法有:
'host foo', 'host 127.0.0.1' :针对单部主机来进行封包撷取
'net 192.168' :针对某个网域来进行封包的撷取;
'src host 127.0.0.1' 'dst net 192.168':同时加上来源(src)或目标(dst)限制
'tcp port 21':还可以针对通讯协议侦测,如 tcp, udp, arp, ether 等
还可以利用 and 与 or 来进行封包数据的整合显示呢
下面列举一些常用的命令:
tcpdump -i eth0 抓取通过网络接口eth0的所有数据包,ifconfig可查看所有的网络接口
tcpdump -i eth0 -c 10 -w xxx.pcap 只抓取10个包,并保存到文件xxx.pcap
tcpdump -r xxx.pcap 读取已保存的包文件
tcpdump -i eth0 src host 119.75.217.56 只抓取源ip地址为119.75.217.56的包
tcpdump -i eth0 dst host 119.75.217.56 只抓取目的ip地址为119.75.217.56的包
tcpdump -i eth0 host 119.75.217.56 只抓取源ip地址或目的ip地址为119.75.217.56的包
tcpdump -i eth0 tcp 只抓取采用tcp协议的包
tcpdump -i eth0 tcp port 80 只抓取采用tcp协议且端口为80的包
tcpdump -i eth0 host 119.75.217.56 or host 65.175.38.200 只抓取源或目的ip为这两者的包
tcpdump -i eth0 host 119.75.217.56 and tcp port 80 只抓取源或目的ip地址为119.75.217.56,采用tcp协议且端口为80的包
605
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
