如何优雅地使用tcpdump
tcpdump -i eth1
抓取eth1网卡的包,如果不指定网卡,一般就抓默认的网卡eth0
tcpdump host ali
与主机名为ali的流入或流出的包
tcpdump host 198.11.182.11
抓指定ip的包
tcpdump host 198.11.182.11 and 8.8.8.8
抓这两个ip之间往来的包
tcpdump host 198.11.182.11 and \( 8.8.8.8 or 8.8.4.4 \)
抓 198与8.8或8.4之间的往来包
tcpdump host 198.11.182.11 and not 8.8.8.8
不抓8.8的包,也可以用“!”代替 “not”
tcpdump ip host 198.11.182.221 and 8.8.8.8
抓两机之间的ip包
tcpdump src 198.11.182.221 and dst 8.8.8.8
抓198.11.182.221发往8.8.8.8的包
tcpdump udp port 53
抓本机53端口出入的udp包
tcpdump tcp port 80 and host 198.11.182.221
抓198主机的80端口出入的tcp包
tcpdump -i eth1 -w ./net.cap
抓到的包放入net.cap文件中,供给wireshark分析
tcpdump tcp -i eth1 -t -s 0 -c 100 and dst port ! 22 and src net 192.168.1.0/24 -w ./target.cap
(1)tcp: ip icmp arp rarp 和 tcp、udp、icmp这些选项等都要放到第一个参数的位置,用来过滤数据报的类型
(2)-i eth1 : 只抓经过接口eth1的包
(3)-t : 不显示时间戳
(4)-s 0 : 抓取数据包时默认抓取长度为68字节。加上-S 0 后可以抓到完整的数据包
(5)-c 100 : 只抓取100个数据包
(6)dst port ! 22 : 不抓取目标端口是22的数据包
(7)src net 192.168.1.0/24 : 数据包的源网络地址为192.168.1.0/24
(8)-w ./target.cap : 保存成cap文件,方便用ethereal(即wireshark)分析