输出网络接口上符合规则的数据包,-w保存输出数据到文件,-r从文件中读数据。
-c后面可以接抓包的次数,否则以ctrl+c结束。
tcpdump结束时,最后会输出3个信息:captured,resived by filter,droped by kernel。
(-c -w的演示)
选项:
-A 将抓取的包以ASCI码显示,适用于web转包(未使用)
-B 设置系统captureBuffer 的大小
-c 抓包数
-C 后面的数字单位是M,目录需要在/var/tmp中,和-w连用。将这个包数据写到保存文件时,检查目前保存文件的大小,如果文件大于规定要求则写入到新文件。
(tcpdump -C 1 -w test 演示)
-d 含义暂时未知
-dd
-ddd
-D 显示出可以抓包的端口,类似ifconfig -a
-e 显示数据链路层的协议头数据,如mac地址
-E 解密IPsec ESP包,暂时未用到
-f 显示数字形式的ip地址,基本不会用到。
-F 使用文件作为过滤规则
-G 与-C和-w连用,如tcpdump -G 10 -C 1 -w test ,-G注意是对test重写,不会想-C那样产生test[num]文件,相当于在test文件中循环记录
-i 监听端口,如果不指定默认监听tcpdump -D的最小端口
-I 设置网卡为监听模式,在对无线网卡有效下有用。在监听模式下,可能与已经连接的网络断开
-j 设置时间戳格式,可以使用-J显示可用的时间戳格式
-J 列出支持的时间戳
-K 不校验tcp,udp ,ip
-l 标准输出,同时可以写到文件,如:tcpdump -l | tee dat
-L 打印link-layer,常用于无线网卡的相关内容
-m 从modle导入SMI MIB
-M 如果tcp报文中存在TCP-MD5选项,则需要用secret作为共享的验证码用于验证TCP-MD5选选项摘要
-n 不将hostadd转换为hostName
-nn 不转换协议和端口号
-N 不显示主机名的域名部分
-O 不优化匹配规则
-p 不使用混杂模式
-P 选择收发方向(没有此选项)
-q 输出较少的协议信息
-S 打印tcp序列号的绝对值
-s 打印snarflen字节的报数据,而不是默认的65535字节
-T 强制选择表达式指定类型的包,
Currently known types are aodv (Ad-hoc On-demand Distance Vector protocol), cnfp (Cisco NetFlow protocol), rpc(Remote Procedure Call), rtp (Real-Time Applications protocol),
rtcp (Real-Time Applications control protocol), snmp (Simple Network Management Protocol), tftp (Trivial File Transfer Protocol), vat (Visual Audio Tool), and wb (distributed White Board).
-t 不打印时间戳
-tt 打印不规则的时间戳
-ttt
-tttt 打印不同格式的时间戳
-v
-vv
-vvv 打印详细信息
-w 上述
-W 与-C /-G连用
-x 打印包的数据
-xx 打印包数据和link level header
-X
-XX 以十六进制和ascii码输出
-y 只捕获数据链路层datalinktype的协议数据