tcpdump默认只抓取一个包的前68或96个字节,如果要查看更多内容,需要加"-s number"选项,下面是整理的最常用的一些选项:
[选项]
- -i any 监听所有的网卡接口、用来查看是否有网络流量
- -i eth0 只监听eth0网卡流量
- -D 显示可用的接口列表
- -n 不解析成主机名(协议端口会以协议名进行显示,不显示实际端口),本地IP地址会以主机名形式显示 (参数可以连写,比如:-nX)
- -nn 不解析成主机名和端口,会以实际IP和端口号进行显示。
- -q 显示简化输出
- -t 显示可读的时间戳
- -A 将封包内容以ASCII显示,通常用来捕获www网页封包的资料
- -x 将封包以十六进制显示每一个报文 (去掉链路层报头后) ,只会以十六进制形式显示网络层及以上字段的内容,不包含数据链路层。
- -xx 与 -x 类似,-x默认不会以十六进制形式显示数据链路层字段,直接从网络层包头开始显示;-xx表示在十六进制显示中增加以太网header的显示,即会以十六进制形式从数据链路层开始显示。
- -e 获取以太网头(数据链路层头),添加此参数后,解析的信息中会显示数据链路层信息。与-xx的区别,-xx指的是以十六进制显示,而-e会在解析的明文信息前添加数据链路层信息,比如MAC等信息。
- -v -vv -vvv 显示更加多的包信息
- -c 只读取指定数量的包,例&#x