tcpdump笔记

输出网络接口上符合规则的数据包，-w保存输出数据到文件，-r从文件中读数据。

-c后面可以接抓包的次数，否则以ctrl+c结束。

tcpdump结束时，最后会输出3个信息：captured，resived by filter，droped by kernel。

（-c -w的演示）

选项：

-A 将抓取的包以ASCI码显示，适用于web转包（未使用）

-B 设置系统captureBuffer 的大小

-c 抓包数

-C 后面的数字单位是M，目录需要在/var/tmp中，和-w连用。将这个包数据写到保存文件时，检查目前保存文件的大小，如果文件大于规定要求则写入到新文件。

（tcpdump -C 1 -w test 演示）

-d 含义暂时未知

-dd

-ddd

-D 显示出可以抓包的端口，类似ifconfig -a

-e 显示数据链路层的协议头数据，如mac地址

-E 解密IPsec ESP包，暂时未用到

-f 显示数字形式的ip地址，基本不会用到。

-F 使用文件作为过滤规则

-G 与-C和-w连用，如tcpdump -G 10 -C 1 -w test ，-G注意是对test重写，不会想-C那样产生test[num]文件，相当于在test文件中循环记录

-i 监听端口，如果不指定默认监听tcpdump -D的最小端口

-I 设置网卡为监听模式，在对无线网卡有效下有用。在监听模式下，可能与已经连接的网络断开

-j 设置时间戳格式，可以使用-J显示可用的时间戳格式

-J 列出支持的时间戳

-K 不校验tcp,udp ,ip

-l 标准输出，同时可以写到文件，如:tcpdump  -l  |  tee dat

-L 打印link-layer，常用于无线网卡的相关内容

-m 从modle导入SMI MIB

-M 如果tcp报文中存在TCP-MD5选项，则需要用secret作为共享的验证码用于验证TCP-MD5选选项摘要

-n 不将hostadd转换为hostName

-nn 不转换协议和端口号

-N 不显示主机名的域名部分

-O 不优化匹配规则

-p 不使用混杂模式

-P 选择收发方向（没有此选项）

-q 输出较少的协议信息

-S 打印tcp序列号的绝对值

-s 打印snarflen字节的报数据，而不是默认的65535字节

-T 强制选择表达式指定类型的包，

Currently known types are aodv (Ad-hoc On-demand Distance Vector protocol), cnfp (Cisco NetFlow protocol), rpc(Remote Procedure Call), rtp (Real-Time Applications protocol),

 rtcp (Real-Time Applications control protocol), snmp (Simple Network Management Protocol), tftp (Trivial File Transfer Protocol), vat (Visual Audio Tool), and wb (distributed White Board).

-t 不打印时间戳

-tt 打印不规则的时间戳

-ttt

-tttt 打印不同格式的时间戳

-v

-vv

-vvv 打印详细信息

-w 上述

-W 与-C /-G连用

-x 打印包的数据

-xx 打印包数据和link level header

-X

-XX 以十六进制和ascii码输出

-y 只捕获数据链路层datalinktype的协议数据