tcpdump 默認只抓68字節
tcpdump -i eth0 -s 0 -w file.pcap 捕獲所有eth0來的數據包並存到file.pcap中去
tcpdump-i eth0 -c 100 port 22 捕獲所有eth0來的22端口的所有協議的數據包,但只抓100個包
tcpdump -i ens33 host 192.168.100.25 監聽這個主機收到的和發出的所有的數據包
tcpdump -i ens33 host 192.168.100.25 and \(192.168.100.2 or 192.168.100.76\) 捕獲25和后面2個任意一個的通訊信息
tcpdump -i ens33 host 192.168.100.25 and ! host 192.168.100.76 捕獲25和除了76之外的一切IP通信的信息
tcpdump -i ens33 host 192.168.100.25 and tcp port 23 監聽主機IP有25的,並且訪問的端口是23的,捕獲下來
tcpdump udp port 123 捕獲UDP 123端口的數據信息
tcpdump -i ens33 port 22 捕獲報文中有22端口的,不管源目的IP,不管TCP還是UDP,是22端口的就拿下
源主機:src host
目的主機:dst host
源端口:src port
目的端口:dst por
源TCP 22端口:tcp dst port 22 端口的搭配
tcpdump -i ens33 src host 192.168.100.76 and tcp dst port 23 捕獲源地址為76訪問目的端口為23的,拿下
tcpdump -i ens33 src host 192.168.100.76 and dst host 192.168.100.22 and tcp dst port 23 捕獲源地址76訪問目標地址22的目標端口23的報文
-A 將封包內容以ASCII顯示,通常用來捕獲www網頁封包的資料
-X 將封包以十六進制顯示,通常用來捕獲數據包內部的內容
-n 不反解IP和端口 (參數可以連寫,比如:-nX)
讀取抓包文件
tcpdump -r file.pcap