1、默认启动
1 tcpdump -vv
普通情况下,直接启动tcpdump将监视第一个网络接口上所有流过的数据包。
2、过滤主机
1 tcpdump -i eth1 host 192.168.1.1
2 tcpdump -i eth1 src host 192.168.1.1
3 tcpdump -i eth1 dst host 192.168.1.1
抓取所有经过eth1,目的或源地址是192.168.1.1的网络数据
指定源地址,192.168.1.1
指定目的地址,192.168.1.1
3、过滤端口
1 tcpdump -i eth1 port 25
2 tcpdump -i eth1 src port 25
3 tcpdump -i eth1 dst port 25
抓取所有经过eth1,目的或源端口是25的网络数据
指定源端口
指定目的端口
4、网络过滤
1 tcpdump -i eth1 net 192.168
2 tcpdump -i eth1 src net 192.168
3 tcpdump -i eth1 dst net 192.168
5、协议过滤
1 tcpdump -i eth1 arp
2 tcpdump -i eth1 ip
3 tcpdump -i eth1 tcp
4 tcpdump -i eth1 udp
5 tcpdump -i eth1 icmp
6、常用表达式
1 非 : ! or “not” (去掉双引号)
2 且 : && or “and”
3 或 : || or “or”
抓取所有经过eth1,目的地址是192.168.1.254或192.168.1.200端口是80的TCP数
1 tcpdump -i eth1 ‘((tcp) and (port 80) and ((dst host 192.168.1.254) or (dst host 192.168.1.200)))’
抓取所有经过eth1,目标MAC地址是00:01:02:03:04:05的ICMP数据
1 tcpdump -i eth1 ‘((icmp) and ((ether dst host 00:01:02:03:04:05)))’
抓取所有经过eth1,目的网络是192.168,但目的主机不是192.168.1.200的TCP数据
1 tcpdump -i eth1 ‘((tcp) and ((dst net 192.168) and (not dst host 192.168.1.200)))’
654
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
