常用参数
- -i, 要监听的网卡名称,-i rvi0监听虚拟网卡。不设置的时候默认监听所有网卡流量。any表示所有网卡
- -A, 用ASCII码展示所截取的流量,一般用于网页或者app里http请求。-AA可以获取更多的信息。
- -X,用ASCII码和hex来展示包的内容,和上面的-A比较像。-XX可以展示更多的信息(比如link layer的header)。
- src,指明ip包的发送方地址。
- dst,指明ip包的接收方地址。
- port,指明tcp包发送方或者接收方的端口号。
- and,or,not,操作法,字面意思。
- -n,不解析hostname,tcpdump会优先暂时主机的名字。-nn则不展示主机名和端口名(比如443端口会被展示成https)。
- -s,截取的包字节长度,默认情况下tcpdump会展示96字节的长度,要获取完整的长度可以用-s0或者-s1600。
- -c,只截取指定数目的包,然后退出。
- -v,展示更多的有用信息,还可以用-vv -vvv增加信息的展示量。
- -w 把原始报文存进 file, 不做分析和显示。
抓取TCP数据
抓取UDP数据
// 抓取443端口的UDP数据,所有网卡,并保存到文件1.pcap中(pcap文件是wireshark支持打开的文件格式)
参考文章