tcpdump能幫助我們捕捉并儲存網絡包,儲存下來的網絡包可用于分析網絡負載情況,包可通過tcpdump指令解析,也可以儲存成字尾為pcap的檔案,使用wireshark等軟體進行檢視。
以下将給出9個使用tcpdump的例子,以說明tcpdump的具體使用方法。
1.針對特定網口抓包(-i選項)
當我們不加任何選項執行tcpdump時,tcpdump将抓取通過所有網口的包;使用-i選項,我們可以在某個指定的網口抓包:
以上例子中,tcpdump抓取所有通過eth0的包。
2.抓取指定數目的包(-c選項)
預設情況下tcpdump将一直抓包,直到按下”ctrl+c”中止,使用-c選項我們可以指定抓包的數量:
以上例子中,隻針對eth0網口抓2個包。
3.将抓到包寫入檔案中(-w選項)
使用-w選項,我們可将抓包記錄到一個指定檔案中,以供後續分析
應當儲存為.pcap字尾的檔案,友善我們使用wireshark等工具讀取分析。
4.讀取tcpdump儲存檔案(-r選項)
對于儲存的抓封包件,我們可以使用-r選項進行讀取:
5.抓包時不進行域名解析(-n選項)
預設情況下,tcpdump抓包結果中将進行域名解析,顯示的是域名位址而非ip位址,使用-n選項,可指定顯示ip位址。
6.增加抓包時間戳(-tttt選項)
使用-tttt選項,抓包結果中将包含抓包日期:
7.指定抓包的協定類型
我們可以隻抓某種協定的包,tcpdump支援指定以下協定:ip,ip6,arp,tcp,udp,wlan等。以下例子隻抓取arp協定的包:
8.指定抓包端口
如果想要對某個特定的端口抓包,可以通過以下指令:
9.抓取特定目标ip和端口的包
網絡包的内容中,包含了源ip位址、端口和目标ip、端口,我們可以根據目标ip和端口過濾tcpdump抓包結果,以下指令說明了此用法:
![linux-svn解除安裝與安裝[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)