tcpdump安装:yum install tcpdump
类型关键字:
指定主机 host 192.168.1.111
指定网络地址 net 202.0.0.0
指定端口 port 8080
方向关键字
src:src 192.168.1.111,ip包源地址是192.168.1.111
dst:det net 202.0.0.0,目标网络地址是202.0.0.0
src or dst
src and dst
协议关键字
fddi、tcp、udp、rarp、arp、http等
其他关键字
gateway(抓取指定网关的数据包)、broadcast、less、greater(非运算 'not ' '! ', 与运算'and','&&';或运算 'or' ,'||';)
-c:指定要抓取的包数量。
-i interface:指定tcpdump需要监听的接口。
-n:对地址以数字方式显式,否则显式为主机名,也就是说-n选项不做主机名解析。
-nn:除了-n的作用外,还把端口显示为数值,否则显示端口服务名。
-N:不打印出host的域名部分。例如tcpdump将会打印'nic'而不是'nic.ddn.mil'。
-P:指定要抓取的包是流入还是流出的包。可以给定的值为"in"、"out"和"inout",默认为"inout"。
-e:输出的每行中都将包括数据链路层头部信息,例如源MAC和目标MAC。
-q:快速打印输出。即打印很少的协议相关信息,从而输出行都比较简短。
-X:输出包的头部数据,会以16进制和ASCII两种方式同时输出。
-XX:输出包的头部数据,会以16进制和ASCII两种方式同时输出,更详细。
-vvv:当分析和打印的时候,产生详细的输出。
-D:列出可用于抓包的接口。将会列出接口的数值编号和接口名,它们都可以用于"-i"后。
-w:将抓包数据输出到文件中。可以同时配合"-G time"选项使得输出文件每time秒就自动切换到另一个文件。可通过"-r"选项载入这些文件以进行分析和打印。
-s:指定要监听数据包的长度
-tttt:加入时间戳
实例:
1、tcpdump -i ens33 -c 100 -vvv -tttt -s 0 -w 1.cap host 192.168.1.111 and tcp port 8080
抓取从ens33网口出去源地址为192.168.1.111,端口为8080的tcp协议的100个包,具有详细信息、时间戳、不限长度写入1.cap文件
2、tcpdump -i eth33 src host 192.168.1.111 and dst port 8080
抓取从ens33流向源地址为192.168.1.111的包以及接收8080端口的包