tcpdump是Linux下的截获分析网络数据包的工具,对优化系统性能有很大参考价值
以下仅介绍常用的抓包命令
基本命令
| host | 指定主机名 |
|---|---|
| host | 指定主机名 |
| src | 指定来源IP |
| -i | 指定网卡 |
| -w | 结束后输出文件/tcpdump *** -w xxx.cap |
安装
CentOS下安装:
yum install tcpdump
Ubuntu下安装:
apt-get install tcpdump
监视指定网络接口的数据包
查看网卡
ip addr
监听网卡
tcpdump -i enp3s0
监视指定主机/IP的数据包
监听主机
tcpdump host 主机名
监听指定来源
例如截获所有210.27.48.1 的主机收到的和发出的所有的数据包
-i:指定网卡|any为监听所有网卡,不指定默认选择第一个活跃的网络接口
tcpdump -i eth0 src 210.27.48.1 -w output.cap
指定抓本机服务器所有监听端口的包并保存到root/*.cap文件
tcpdump -i any -XO -vvv -s0 -w output.cap
监听本机与来源IP的双向通信
tcpdump host 36.7.176.237 -w output.cap
监听指定端口
指定单端口
tcpdump -i any port 5060 -w output.cap
指定多个端口
tcpdump -i any port 6000 or 6100 -w output.cap
PS:各指令也支持组合使用