tcpdump常用配置指導
參考:http://www.cnblogs.com/ggjucheng/archive/2012/01/14/2322659.html
1. 指定端口抓包 -i
說明:
普通情況下,直接啟動tcpdump將監視第一個網絡接口上所有流過的數據包。
2. 只抓10個包
tcpdump -i ens33 -c 10
舉例:
3. 顯示報文的以太頭 -e
下面是抓取和www.baidu.com之間通信的4個報文,每個報文顯示以太頭。
顯示報文的完整內容,-xx
tcpdump -i ens33 -xx -vvv host www.baidu.com
4. 只抓與某個主機交互的包 host 選項
tcpdump -i ens33 host www.baidu.com
舉例
5. 只抓tcp報文,udp報文,http報文,https報文
tcpdump -i ens33 tcp -c 4
舉例:只抓取4個tcp報文
tcpdump -i ens33 udp
舉例,下例子中,只有www.baidu.com的dns解析會被抓到,ping包的icmp不會抓到。
抓icmp報文,如下:
抓http報文,如下,舉例見下面的內容:
tcpdump -i ens33 tcp port 80
抓https報文,如下:
tcpdump -i ens33 tcp port 443
6. 只抓指定tcp端口號,udp端口號的報文
tcpdump -i ens33 tcp port 80
舉例:
tcpdump -i ens33 udp port 53
7. 顯示主機A和主機B之間的報文
tcpdump -i ens33 host www.baidu.com and 192.168.248.156
舉例:下例子中,ping 163時,tcpdump不會抓到包,但是ping baidu時,會抓到包。
8. 將抓包結果實時保存到文件中 -w
tcpdump -i ens33 tcp port 443 -w ./https.cap
再使用 xftp 將文件導出到windows后,再使用wireshark進行查看。
9. 顯示報文更詳細的內容:
tcpdump -i ens33 -vvv host www.baidu.com
