tcpdump -i eth0 -c 2000 -w eth0.cap
tcpdump采用命令行方式,命令格式如下。
tcpdump[
-adeflnNOpqStvx ] [ -c数量] [ -F文件名]
[ -i网络接口] [ -r文件名] [ -s
snaplen ]
[ -T类型] [ -w文件名] [表达式]
-a将网络地址和广播地址转换为名称;
-d
以人们能理解的汇编形式给出匹配数据包的代码;
-dd以c语言程序段的形式给出匹配数据包的代码;
-ddd
以十进制形式给出匹配分组的代码;
-将e数据链路层的报头信息打印在输出行上;
-f
用数字打印外部互联网地址;
-l将标准输出设置为缓冲线格式;
-n
不将网络地址转换为名称;
-t不在输出的每一行上打印时间戳;
-v
输出稍微详细的信息,例如ip包可以包含ttl和服务类型的信息;
-vv输出详细的消息信息;
-c
收到指定的数据包数后,tcpdump停止;
-F从指定文件读取表达式,忽略其他表达式;
-i
指定要监听的网络接口
-r从指定文件读取软件包。 这些软件包通常由-w选项生成。
-w
将软件包直接写入文件,不进行分析和打印;
-T将接收到的包解释为直接指定类型的消息,一般类型为rpc
(远程过程调用)和snmp )简单网络管理协议; )
示例:
1、抓取eth0包时,指令格式如下。
tcpdump -i eth0 -w /tmp/eth0.cap
2、抓取192.168.1.20包时,指令格式如下:
tcpdump-I etho host 192.168.1.20-w
/tmp/temp.cap
3、抓住192.168.1.20的ICMP包时,命令格式如下:
tcpdump-iethohost 192.168.1.20 and icmp-w
/tmp/icmp.cap
4、如果要抓住192.168.1.20上的端口10000、10001和10002以外的软件包,命令格式如下:
tcpdump-iethohost 192.168.1.20 and! 端口10000
与! 端口10001和! port 10002 -w /tmp/port.cap
5、抓取vlan 1软件包时,命令格式如下。
tcpdump-I eth 0端口80 and VLAN1- w
/tmp/vlan.cap
6、抓取pppoe密码时,命令格式如下。
t pdump-ieht 0pp poes-w/tmp/PPPoE.cap
7、抓取eth0包时,抓取10000个包后退出时,命令格式如下:
t pdump-ieth0- c10000-w/tmp/temp.cap
8、后台抓取eth0在80端口的数据包。 指令形式如下。
nohup tcpdump-ieth0port 80-w/tmp/temp.cap
# # # #
自己的命令:tcpdump-ieth0- w/tmp/eth0. cap-s0
否则,包不完整,没有内容