Suse、Aix
命令格式
tcpdump采用命令行方式,它的命令格式为:
tcpdump [ -adeflnNOpqStvx ] [ -c 数量 ] [ -F 文件名 ]
[ -i 网络接口 ] [ -r 文件名] [ -s snaplen ]
[ -T 类型 ] [ -w 文件名 ] [表达式 ]
1. tcpdump的选项介绍
-a 将网络地址和广播地址转变成名字;
-d 将匹配信息包的代码以人们能够理解的汇编格式给出;
-t 在输出的每一行不打印时间戳;
-v 输出一个稍微详细的信息,例如在ip包中可以包括ttl和服务类型的信息;
-vv 输出详细的报文信息;
-c 在收到指定的包的数目后,tcpdump就会停止;
-F 从指定的文件中读取表达式,忽略其它的表达式;
-i 指定监听的网络接口;
-r 从指定的文件中读取包(这些包一般通过-w选项产生);
-w 直接将包写入文件中,并不分析和打印出来;
命令举例
tcpdump -i eth0 (只显示通过eth0接口上的所有报头)-s 0 -w $HOME/log/test.cap
host 192.168.1.1 and port 80
Solaris
snoop
命令举例
snoop -d eth0 -o $HOME/log/test.cap port 80 and host
192.168.1.1
注:抓包工具捕获的是从网络接口层上接收或者发送到网络接口的包,不经网卡的包无法捕获(如客户端和服务端在同一台机器无法抓包)