tcpdump是一个抓包工具,用于抓取互联网上传输的数据包
tcpdump是一种用于截获网络数据包并输出数据包内容的工具。 强大的功能和灵活的拦截策略使其成为在UNIX系统上进行网络分析和故障排除的最佳工具
tcpdump支持过滤网络层、协议、主机、网络或端口,并提供逻辑语句(如and、or和not )以删除不需要的信息
#常用选项
-i #您正在接收哪个网卡? 不将-n#IP解析为主机名-不将-nn #端口解析为APP应用层协议-c #指定数据包数量-不将s #随机序列和确认序列解析为绝对值-将w #通信保存到文件。 无法直接看到文件内的信息-r #读取文件内的内容-输出v #等稍微详细的信息-输出vv #详细的信息。#实例
1、默认情况下启动tcpdump -vv#通常情况下,直接启动tcpdump会监视流过第一个网络接口的所有数据包。 2、所有通过过滤主机tcpdump-iet h1 host 192.168.1.1 # et h1且目标或源地址为192.168.1.1的网络数据tcpdump-I et h1 src host 192.168.1.1 tcpdump-iet h1 dsthost 192.168.1.1 #指定目标地址,192.168.1.13,过滤端口tcpdump-I et h1端口80 #均为目标或源端口为80的网络数据tcpdump -i eth1 src port 80#指定源端口tcpdump -i eth1 dst port 80#指定目标端口4, 协议过滤器tcpdump-iet h1 ARP tcpdump-iet h1 IP tcpdump-iet h1 TCP tcpdump-iet h1 UDP tcpdump-iet h1 icmp # TCP端口上的分组tcpdump-ietdump 抓住所有通过: or 'and '或: || or 'or'#的eth1, 目标地址为192.168.1.254或192.168.1.200端口为80的TCP数量tcpdump-IetH1'((TCP ) and (port 80 ) and ) ) dsthost 192.168 目标MAC地址为00336001336002336002336003360033600336004336005的ICMP数据tcpdump-IetH1'(icmp ) and ((etherdsthost 003:0133606 ) 目标网络为192.168,但目标主机为192.168.1.200的TCP数据tcpdump-IetH1'(TCP ) and (dst net 192.168 ) and (notdsthost 192.1998 )