tcpdump可以將網路中傳送的資料報的「頭」完全截獲下來提供分析。支援對網路層、協議、主機、網路或埠的過濾,並提供and、or、not等邏輯語句來去掉無用的資訊。
不帶引數的tcpdump會收集網路中所有的資訊報頭,資料量巨大,所以,必須過濾。
常用選項
具體含義
-i指定監聽的網路介面。
-nnip和埠均以數字形式顯示。
-c在收到指定的資料分組後,tcpdump停止,如果沒有這個引數,會持續不斷的監聽使用者,直到輸入[ctrl]+c為止。
-t再輸入的每一行不列印時間戳。
-q只輸出較少的協議資訊,僅輸出協議名稱,不輸出封包標記資訊。
-wfile直接將分組寫入檔案中,而不是到stdout。
-rfile從後面接的檔案將資料報資料讀出來。
-s設定資料報抓取長度為len,如果不設定預設為65535位元組。
-d列出可用於抓包的介面。列出介面的數值編號和介面名。可用於-i後。
-l列出網路介面的已知資料鏈路。
-f從檔案中讀取抓包的過濾表示式,若使用該選項,則命令列中給定的其他表示式都將失效。
-a資料報的內容以ascll顯示,通常用來捕捉www的網頁資料報資料
-x資料報內容以十六進製制和ascll顯示。
-xx比-x輸出更詳細。
當我們不加任何選項執行tcpdump時,tcpdump將會抓取通過所有的網口的包。使用-i選項,可以在某個指定的網口抓包。
例子:tcpdump抓取所有通過eth0的包。
命令:tcpdump -i eth0
例子:只針對eth0網口抓2個包。
命令:tcpdump -c 2 -i eth0
例子:將抓包記錄到乙個指定的檔案中,以供後續分析
命令:tcpdump -w 2018530.pcap -i eth0
對於儲存的抓包檔案,可以使用-r選項進行讀取。
命令:tcpdump -r 2018530.pcap
預設情況下,tcpdump抓包結果中將進行網域名稱解析,顯示的是網域名稱位址,而不是ip位址,使用-n選項,可以指定顯示ip位址。
使用-tttt選項,抓包結果將包含抓包日期。
命令:tcpdump -n -tttt -i eth0
tcpdump支援指定協議型別有:ip,ip6,arp,tcp,udp,wlan等。
例子:抓取arp協議的包。
命令:tcpdump -i eth0 arp
命令:tcpdump -i eth0 port 22
網路中的包內容中,包含了源ip位址、源埠、目的ip位址、目的埠,我們可以根據目的ip和埠過濾tcpdump抓包結果。
命令:tcpdump -i eth0 dst 10.70.121.92 and port 22
tcpdump工具的使用方法與常見選項
tcpdump 命令 是一款sniffer工具,它可以列印所有經過網路介面的資料報的頭資訊,也可以使用 w選項將資料報儲存到檔案中,方便以後分析。直接啟動tcpdump將監視第乙個網路介面上所有流過的資料報 tcpdump監視指定網路介面的資料報 tcpdump i eth1如果不指定網絡卡,預設t...
tcpdump使用方法
你也可以用選項來找出多個埠而不用一一指定,也可以僅檢視大於或小於某一位元組大小的包。變得有創意 表示式很好,但tcpdump真正的魅力在於創造性的將表示式聯合在一起來準確的找到你想要的。有三種聯合的方式 學過電腦的人會很熟悉 與and or 或or or 非not or 更多的例子 從10.5.2....
tcpdump 的使用方法
超級詳細tcpdump 的用法 摘要 第一種是關於型別的關鍵字,主要包括host,net,port,例如 host 210.27.48.2,指明 210.27.48.2是一台主機,net 202.0.0.0 指明 202.0.0.0是乙個網路位址,port 23 指明埠號是23。如果沒有指定型別,預...