一. 使用方法
1. 指定類型
host:指定主機
tcpdump host 192.168.100.1
tcpdump host 192.168.100.1 and !192.168.100.2
tcpdump host 192.168.100.1 and \(192.168.100.2 or 192.168.100.3\)
net:指定網絡地址
tcpdump net 192.168.100.0/24
port:指定端口
tcpdump port 80
2. 指定方向
src:源地址
tcpdump src 192.168.100.1
tcpdump src 192.168.100.1 port 22 -i eth0
dst:目標地址
tcpdump dst 192.168.100.1
3. 參數類型
-i:指定接口
tcpdump -i eth0
4. 指定協議
tcp:指定tcp協議
arp:指定ARP協議
udp:指定udp協議
4. 條件組合
tcpdump -i eth0 host 192.168.100.1
二. 輸出分析
20:34:28.943272 IP 192.168.100.160.ssh > 192.168.100.1.52214: Flags [P.], seq 100384:100464, ack 241, win 251, length 80
第一列:時分秒毫秒
第二列:網絡協議
第三列:發送方的ip地址+端口號(或者協議)
第四列:>
第五列:接收方的ip地址+端口號(或者協議)
第六列:冒號
第七列:Flag標識符:
[S]:建立連接的標識SYN
[P]:發送數據的標識
[F]:結束連接的標識FIN
[.]:沒有標識