概述
tcpdump(dump the traffic on a network),一款sniffer工具,可以打印所有经过网络接口的数据包的头信息,支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你过滤数据包头信息。
通常将抓取的包保存到文件然后在win平台用wireshark做包分析; 执行时需要root权限,tcpdump凭借强大的功能和灵活的截取策略,使其成为类UNIX系统下用于网络分析和问题排查的首选工具。
1. 网络数据包分类
单播包 源和目的间点对点的连接
组播包 源和组播内节点间的连接
广播包 源和本地子网内所有节点的连接
2. 网卡工作模式
直接模式 接收网络中目的地址为自己的数据包
混杂模式 接收网络中一切通过该网卡的数据包
3. 查看及设置网卡工作模式
ifconfig eth0 查看
ifconfig eth0 promisc 设置
ifconfig eth0 -promisc 取消
4. 安装
yum/apt-get install -y tcpdump
常见选项
-t 不显示时间戳
-i 指定抓取的接口
-w 将