1,安装tcpdump
yum install tcpdump -y
2、常用的一些简单用法
tcpdump -nn 本地网卡地址以及外部链接地址 ,并采用IP地址、端口表示。 如果不加-nn 则会本机主机名以及外部客户端myblast显示。
tcpdump -i eth1 抓取网卡eth1包链接情况。如果不指定网卡,默认抓取eth0数据包。
tcpdump -i eth1 port 80 抓取eth1网卡80端口链接情况。
tcpdump -nn -i eth1 port 80 -c 20 抓取eth1网卡80端口链接情况并长度20。
tcpdump -nn tcp 抓取tcp 链接包。如udp,则将tcp改成udp即可。
tcpdump -nn -i eth1 port 80 and host 118.112.163.61 -c 10 抓取抓取eth1网卡80端口和链接地址118.112.163.61链接情况并长度10。
tcpdump -nn -s0 -i eth1 port 80 and host 118.112.163.61 -c 10 同上相比,加了参数-s0 代表抓取完整包。
3、实例:
下面的例子全是以抓取eth0接口为例,如果不加”
-
i eth0”是表示抓取所有的接口包括lo。
1
、抓取包含
10.10
.
10.122
的数据包
# tcpdump -i eth0 -vnn host 10.10.10.122
2
、抓取包含
10.10
.
10.0
/
24
网段的数据包
# tcpdump -i eth0 -vnn net 10.10.10.0/24
3
、抓取包含端口
22
的数据包
# tcpdump -i eth0 -vnn port 22
4
、抓取udp协议的数据包
# tcpdump -i eth0 -vnn udp
5
、抓取icmp协议的数据包
# tcpdump -i eth0 -vnn icmp
6
、抓取arp协议的数据包
# tcpdump -i eth0 -vnn arp
7
、抓取ip协议的数据包
# tcpdump -i eth0 -vnn ip
8
、抓取源ip是
10.10
.
10.122
数据包。
# tcpdump -i eth0 -vnn src host 10.10.10.122
9
、抓取目的ip是
10.10
.
10.122
数据包
# tcpdump -i eth0 -vnn dst host 10.10.10.122
10
、抓取源端口是
22
的数据包
# tcpdump -i eth0 -vnn src port 22
11
、抓取源ip是
10.10
.
10.253
且目的ip是
22
的数据包
# tcpdump -i eth0 -vnn src host 10.10.10.253 and dst port 22
12
、抓取源ip是
10.10
.
10.122
或者包含端口是
22
的数据包
# tcpdump -i eth0 -vnn src host 10.10.10.122 or port 22
13
、抓取源ip是
10.10
.
10.122
且端口不是
22
的数据包
[root@ ftp]
# tcpdump -i eth0 -vnn src host 10.10.10.122 and not port 22
14
、抓取源ip是
10.10
.
10.2
且目的端口是
22
,或源ip是
10.10
.
10.65
且目的端口是
80
的数据包。
# tcpdump -i eth0 -vnn \( src host 10.10.10.2 and dst port 22 \) or \( src host 10.10.10.65 and dst port 80 \)
15
、抓取源ip是
10.10
.
10.59
且目的端口是
22
,或源ip是
10.10
.
10.68
且目的端口是
80
的数据包。
[root@localhost ~]
# tcpdump -i eth0 -vnn 'src host 10.10.10.59 and dst port 22' or ' src host 10.10.10.68 and dst port 80 '
16
、把抓取的数据包记录存到
/
tmp
/
fill文件中,当抓取
100
个数据包后就退出程序。
# tcpdump –i eth0 -vnn -w /tmp/fil1 -c 100
17
、从
/
tmp
/
fill记录中读取tcp协议的数据包
# tcpdump –i eth0 -vnn -r /tmp/fil1 tcp
18
、从
/
tmp
/
fill记录中读取包含
10.10
.
10.58
的数据包
# tcpdump –i eth0 -vnn -r /tmp/fil1 host 10.10.10.58