简介
网络数据包截获分析工具。支持针对网络层、协议、主机、网络或端口的过滤。并提供and、or、not等逻辑语句帮助去除无用的信息。
示例
tcpdump
监听特定网卡
tcpdump -i en0
监听特定主机
出入监听:tcpdump host 182.254.38.55
只听进入:tcpdump src host 123.207.116.169
只听出去:tcpdump dst host 123.207.116.169
监听特定端口
tcpdump port 3000
监听特定协议
tcpdump tcp
tcpdump udp
监听特定网络
tcpdump net 202.0.0.0
监听组合示例:
协议+端口+来源主机
监听来自主机123.207.116.169在端口22上的TCP数据包
tcpdump tcp port 22 and src host 123.207.116.169
tcpdump tcp -i eth1 -t -s 0 -c 100 and dst port ! 22 and src net 192.168.1.0/24 -w ./target.cap
参数说明
网卡:-i
时间:-t
抓数据包
抓包长度:-s
抓包数量:-c
存储位置:-w
类型关键字
host(缺省类型): 指明一台主机,如host 210.27.48.2
net: 指明一个网络地址,如net 202.0.0.0
port: 指明端口号,如port 23
协议关键字
1. fddi
2. ip
3. arp
4. rarp
5. tcp
6. udp
方向关键字
src: src 210.27.48.2, IP包源地址是210.27.48.2
dst: dst net 202.0.0.0, 目标网络地址是202.0.0.0
dst or src(缺省值)
dst and src
相关文档
https://www.rationallyparanoid.com/articles/tcpdump.html
http://blog.sina.com.cn/s/blog_7475811f0101f6j5.html
http://www.cnblogs.com/chyingp/p/linux-command-tcpdump.html