tcpdump使用大全

71 篇文章 4 订阅
34 篇文章 7 订阅

tcpdump格式: [options][not]proto dir type
options:-nn/-vvv/-xx/-i/-e等
proto:tcp/udp/arp/ip/ether/icmp等
type:host/net/port/portrange等
portrange: 例如80:1024

tcpdump -w file.pcap //保存文件
tcpdump -r file.pcap //读取文件
tcpdump -V text.txt //把保存的文件名称列表放到这个文件中,用-V来打印这几个文件具体的pcap内容
tcpdump -c count //捉几个包
tcpdump -i //指定网卡
tcpdump -n //把输出改名对应的ip和端口,默认是主机名。
tcpdump -Q //指定捉包方向,in流入,out流出,inout出入都捉
tcpdump -e //捉包含二层链路层的数据包
tcpdump -q //快速打印输出。
tcpdump -x -xx -xxx //越多x越详细

tcpdump -v -vv -vvv //越多v越详细
-v //输出一个稍微详细的信息,例如在IP 包中可以包括TTL 和服务类型的信息
-vv // 输出详细的报文信息

-a //将网络地址和广播地址转换成名字

-d //将匹配信息包的代码以能够理解的汇编格式给出
-dd //将匹配信息包的代砃以C 语言程序段的格式给出
-ddd //将匹配信息包的代码以十进制的形式给出

-f //将外部的Internet 地址以数字的形式打印

-1 //使标准输出变为缓冲行形式

-t //在输出的每一行不打印时间戳

-F //从指定的文件中读取表达式,忽略其他的表达式

-T //将监听到的包直接解释为指定的报文类型,常见的类型有RPC (远程过程调用)和
SNMP (简单网络管理协议)

类型关键字主要包括host 、net 、port 。例如:
• host X. Y.Z.2 指明X.Y.Z.2 是一台主机。
• net X.Y.Z.O 指明X.Y.Z.O 是一个网络地址。
• port 23 指明端口号是23 。如果没有指定类型,默认的类型是host 。

  1. 传输方向关键字
    确定传输方向的关键字主要包括src 、dst 、dst or src 、dst and src, 这些关键字指明监听的
    通信内容传输方向。例如:
    • src X.Y.Z.2 指明IP 包中源地址是X.Y.Z.2 。
    • dst net X.Y.Z.O 指明目的网络地址是X.Y.Z.O 。
    • 如果没有指明方向关键字,则默认是dst or src 关键字。

关键字有Gateway 、Broadcast 、Less 、和Greater 。
此外, TCPDump 还提供三种逻辑运算功能,包括非运算“not" “!”,与运算“and" “&&”,
或运算“or" “II” 。通过这些关键字及逻辑运算符,可以构成灵活的过滤规则。

(1) 截获X.Y.Z.61 主机收到的和发出的所有数据包,使用如下命令:
tcpdump host X.Y.Z.61

(2) 截获主机X.Y.Z.1 和主机X.Y.Z.2 或X.Y.Z.3 的通信(在命令行中使用括号时, 一定要
在括号前应用转义字符”\”),使用如下命令:
tcpdump host X.Y.Z.1 and (X.Y.Z.2 or X.Y.Z.3 )

(3) 监听主机X.Y.Z.1 与除了主机X.Y.Z.2 之外的其他所有主机通信的IP 包,使用如下
命令:
tcpdump ip host X.Y.Z.l and! X.Y.Z.2

(4) 获取主机X.Y.Z.1 接收或发出的Telnet 包,使用如下命令:
tcpdump tcp port 23 host X.Y.Z.l

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

项目工程师余工

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值