2.tcpdump(2)

实用命令实例

监视指定网络接口的数据包tcpdump -i eth1   // 如果不指定网卡，默认tcpdump只会监视第一个网络接口，一般是eth0，
下面的例子都没有指定网络接口

监视指定主机的数据包tcpdump host sundown // 打印所有进入或离开sundown的数据包.tcpdump host 210.27.48.1 // 也可以指定ip,例如截获所有210.27.48.1 的主机收到的和
发出的所有的数据包tcpdump host helios and \( hot or ace \) //打印helios 与 hot 或者与 ace 之间通信的数据包tcpdump host 210.27.48.1 and \ (210.27.48.2 or 210.27.48.3 \) //截获主机210.27.48.1
和主机210.27.48.2 或210.27.48.3的通信tcpdump ip host ace and not helios // 打印ace与任何其他主机之间通信的IP 数据包,
但不包括与helios之间的数据包.tcpdump ip host 210.27.48.1 and ! 210.27.48.2//如果想要获取主机210.27.48.1
除了和主机210.27.48.2之外所有主机通信的ip包，使用命令tcpdump -i eth0 src host hostname//截获主机hostname发送的所有数据tcpdump -i eth0 dst host hostname //监视所有送到主机hostname的数据包

监视指定主机和端口的数据包tcpdump tcp port 23 and host 210.27.48.1//如果想要获取主机210.27.48.1接收或发出的telnet包，
使用如下命令tcpdump udp port 123 //对本机的udp 123 端口进行监视 123 为ntp的服务端口

tcpdump 与wireshark

 在Linux 里抓包，然后在Windows 里分析包。tcpdump tcp -i eth1 -t -s 0 -c 100 and dst port ! 22 and src net 192.168.1.0/24 -w ./target.cap(1)tcp: ip icmp arp rarp 和 tcp、udp、icmp这些选项等都要放到第一个参数的位置，用来过滤数据报的类型
(2)-i eth1 : 只抓经过接口eth1的包
(3)-t : 不显示时间戳
(4)-s 0 : 抓取数据包时默认抓取长度为68字节。加上-S 0 后可以抓到完整的数据包
(5)-c 100 : 只抓取100个数据包
(6)dst port ! 22 : 不抓取目标端口是22的数据包
(7)src net 192.168.1.0/24 : 数据包的源网络地址为192.168.1.0/24
(8)-w ./target.cap : 保存成cap文件，方便用ethereal(即wireshark)分析

表达式

表达式由一个或多个'表达元'组成(nt: primitive, 表达元, 可理解为组成表达式的基本元素).
一个表达元通常由一个或多个修饰符(qualifiers)后跟一个名字或数字表示的id 组成(nt: 即, 'qualifiers id').有三种不同类型的修饰符:type, dir 以及proto.type 可以为 host, net, port 以及portrang
portrange(nt: host 表明id 表示主机, net 表明id 是网络, port 表明id 是端口,而portrange 表明id 是一个端口范围).
如, 'host foo', 'net 128.3', 'port 20', 'portrange 6000-6008'(nt:
分别表示主机foo,
网络128.3, 端口20, 端口范围6000-6008). 如果不指定type 修饰符, id 默
认的修饰符为host.dir 修饰符描述id 所对应的传输方向, 即发往id 还是从id 接收（nt: 而id 到底指什么需要看其前面的type 修饰符）.
可取的方向为: src, dst, src 或dst, src 并且dst.(nt:
分别表示, id 是传输源, id 是传输目的, id 是传输源或者传输目的, id 是传输源并且是传输目的).
例如, 'src foo',
'dst net 128.3', 'src or dst port ftp-data'.(nt: 分别表示符合条件的数据包中,源主机是foo, 目的网络
是128.3, 源或目的端口为ftp-data).如果不指定dir 修饰符, id 默认的修饰符为src 或dstproto 修饰符描述id 所属的协议. 可选的协议有: ether, fddi, tr, wlan, ip, ip6, arp,rarp, decnet, tcp以及udp.
例如, `ether src foo', `arp net 128.3', `tcp port 21', `udp portrange 7000-7009'
分别表示'从以太网地址foo 来的数据包','发往或来自128.3网络的arp 协议数据
包', '发送或接收端口为21的
tcp 协议数据包', '发送或接收端口范围为7000-7009的udp 协议数据包'.表达元之间还可以通过关键字and, or 以及not 进行连接, 从而可组成比较复杂的条
件表达式.
`host foo and not port ftp and not port ftp-data'less length 如果数据包的长度比length 小或等于length
greater length 如果数据包的长度比length 大或等于length,

捉包时打印包数据到屏幕上（加-X）tcpdump -X -i eth1 -v tcp port 12345指定捉包数据的长度（加-s $num）tcpdump -X -s 1024 -i eth1 -v tcp port 12345

http://www.cnblogs.com/ggjucheng/archive/2012/01/14/2322659.html

2.tcpdump(2)相关推荐

用tcpdump查看端口包
例如tcpdump -X -s1600 -i eth1 dst port 20072 -wdump.dat 特别注意-s的使用,不使用该参数,则只会接收默认大小的一个数据包,我机器上是42b 得到的 ...
Linux tcpdump命令详解与Wireshark
简介用简单的话来定义tcpdump,就是:dump the traffic on a network,根据使用者的定义对网络上的数据包进行截获的包分析工具. tcpdump可以将网络中传送的数据包的 ...
Linux抓包工具tcpdump详解
原文链接 tcpdump是一个用于截取网络分组,并输出分组内容的工具,简单说就是数据包抓包工具.tcpdump凭借强大的功能和灵活的截取策略,使其成为Linux系统下用于网络分析和问题排查的首选工具. ...
tcpdump抓包并保存到远程服务器
有的时候,运行tcpdump抓包进程的主机A可能没有足够的硬盘空间.例如我们使用树霉派搭建了一个热点,然后我们想在树霉派上抓包,因为树霉派的存储很小,所以很容易在短时间内将存储空间使用完. 为了解决该 ...
Tcpdump命令的使用与示例——linux下的网络分析
顾名思义,TcpDump可以将网络中传送的数据包的"头"完全截获下来提供分析.它支持针对网络层.协议.主机.网络或端口的过滤,并提供and.or.not等逻辑语句来帮助你去掉无用的 ...
Linux下tcpdump用法
根据使用者的定义对网络上的数据包进行截获的包分析工具.tcpdump将网络中传送的数据包的"头"完全截获下来提供分析.它支持针对网络层.协议.主机.网络或端口的过滤,并提供了and ...
tcpdump移植和使用
tcpdump移植和使用 [摘要]:本文主要讲解了tcpdump相关概念和主要参数的使用,并通过事例来讲解tcpdump的用法,最后讲解如何将其移植到嵌入式开发环境,使其在嵌入式主控板中发挥其强大功能 ...
《神探tcpdump第一招》-linux命令五分钟系列之三十五
应 @GamerH2o 博友在微博上提的要求,tcpdump专题会写成一个小型系列文章,力求每篇小文中突出重点,讲解清晰,避免长篇累牍,大家必然昏昏欲睡了. 其实tcpdump就好像一个神探,它有着夜 ...
wireshark和tcpdump抓包TCP乱序和重传怎么办？PCAP TCP排序工具分享
点击上方↑↑↑蓝字[协议分析与还原]关注我们 " 介绍TCP排序方法,分享一个Windows版的TCP排序工具." 在分析协议的过程中,不可避免地需要抓包. 无论抓包条件如何优越, ...
tcpdump保存数据包
1.启动tcpdump tcpdump 2.查看网卡 tcpdump -D 3. 抓取报文后隔指定的时间保存一次 tcpdump -i eth3 -s0 -G 60 -Z root -w %Y_%m% ...

2.tcpdump(2)

2.tcpdump(2)相关推荐

最新文章

热门文章