tcpdump命令:
tcpdump命令是linux系统附带的捕获命令,包含在$PATH环境变量的路径/usr/sbin中。
即tcpdump [option] [expression]
选项(有很多。 枚举部分) :
-D系统中的网卡(包括虚拟网卡);
- c计数捕获数达到计数时,停止tcpdump进程;
- I接口指定抓住包的网卡。 接口是抓住包的网卡的名称。 对所有网卡(例如tcpdump -i em1 )使用-i any。
-w file将捕获的二进制包写入指定的file文件。 请注意,写入file的数据是二进制数据,包括数据包的协议数据。 (如果只想知道摘要信息,必须将标准输出重定向到文件; 因为标准输出中有解析的协议文本数据。 )
表达式表达式:
限制源主机和目标主机
srchost(10.0.0.1or10.0.0.2 ) and dst host 10.0.0.3
捕获工具wireshark,命令行工具tshark
对于tcpdump,可以获取文件的包内容,但如果要将包内容导入到文件中,则必须使用linux重定向。