tcpdump 默认只抓68字节
tcpdump -i eth0 -s 0 -w file.pcap 捕获所有eth0来的数据包并存到file.pcap中去
tcpdump-i eth0 -c 100 port 22 捕获所有eth0来的22端口的所有协议的数据包,但只抓100个包
tcpdump -i ens33 host 192.168.100.25 监听这个主机收到的和发出的所有的数据包
tcpdump -i ens33 host 192.168.100.25 and \(192.168.100.2 or 192.168.100.76\) 捕获25和后面2个任意一个的通讯信息
tcpdump -i ens33 host 192.168.100.25 and ! host 192.168.100.76 捕获25和除了76之外的一切IP通信的信息
tcpdump -i ens33 host 192.168.100.25 and tcp port 23 监听主机IP有25的,并且访问的端口是23的,捕获下来
tcpdump udp port 123 捕获UDP 123端口的数据信息
tcpdump -i ens33 port 22 捕获报文中有22端口的,不管源目的IP,不管TCP还是UDP,是22端口的就拿下
源主机:src host
目的主机:dst host
源端口:src port
目的端口:dst por
源TCP 22端口:tcp dst port 22 端口的搭配
tcpdump -i ens33 src host 192.168.100.76 and tcp dst port 23 捕获源地址为76访问目的端口为23的,拿下
tcpdump -i ens33 src host 192.168.100.76 and dst host 192.168.100.22 and tcp dst port 23 捕获源地址76访问目标地址22的目标端口23的报文
-A 将封包内容以ASCII显示,通常用来捕获www网页封包的资料
-X 将封包以十六进制显示,通常用来捕获数据包内部的内容
-n 不反解IP和端口 (参数可以连写,比如:-nX)
读取抓包文件
tcpdump -r file.pcap