在 Linux 命令行中使用 tcpdump 抓包
通過實例學習tcpdump命令
聊聊 tcpdump 與 Wireshark 抓包分析
tcpdump常用參數
- -n 顯示IP地址和端口號
- -v 顯示更多信息,ttl,長度,其他選項等,tcpdump的詳細信息有3個級別,因此-vvv顯示最多信息
- -D 列出可以抓包的網絡接口
- -i + 網絡接口抓包
- -c + 數字 一次抓取多少數據包后停止抓取
- -w + 文件名 抓包結果保存到文件
- -r + 文件名 讀取抓包文件
- -s + 數字 抓包的大小
如:tcpdump -nvvv -i any -c 100
tcpdump的過濾器參數
- 協議名,如icmp,過濾出icmp的制定報文
- host + ip 特定主機,抓取目標地址和源地址為特定ip的數據包
- port + 數字 特定端口抓包
- src + [host] ip 源地址
- dst + [host] ip 目標地址
- 多條件選擇使用and,or和小括號,在shell中需要用引號包含多個條件的過濾規則如, tcpdump -nvvv -i any -c 20 'port 80 or port 443'
- -X 以十六進制打印出數據報文
- -A 打印數據報文的ASCII值