tcpdump使用簡介

tcpdump:網絡嗅探器：可以将網卡設定為混雜模式（promisc）,抓包工具，抓取網絡封包,隻能抓取與自己有通信時的主機

tcpdump（類似的工具有tshark,wireshark:需要單獨安裝yum安裝，圖形化工具為wireshark-gnome）

  -i interface:指定網卡接口

  -w file:抓取後儲存到哪個檔案中，預設輸出在螢幕中

  -nn：第一個n表示把ip位址顯示為數字格式(預設是顯示主機名)，第二個n表示把協定顯示為數字格式

  -X:分别以包（16進制）和ASCII碼2種方式顯示頭部

  -A:僅以ASCII顯示

  -XX:顯示鍊路層相關的首部資訊

  -v:表示詳細資訊

  -vv：表示更詳細的資訊

  -r file:讀取檔案進行分析

  expression:

    type(類型):

    host:抓取某個主機的封包

    net：抓取某個網絡段的封包 例：net 192.168.

    port：抓取固定端口的封包

    portrange：抓取端口範圍的封包  例：portrange 6000-6008

  dir(流向)：

    src：源位址 例：src

    dst：目标位址

    src or dst：源或者目标都行

    src and dst：必須同時滿足源和目标

  proto(協定):

    ether(以太網)

    wlan(無線)

    ip

    arp

    tcp

    udp

  例如：tcpdump -i eth0 tcp dst port 80 -nn（抓取目标端口為80的所有資料）

     tcpdump -i eth0 -nn (dst) host 172.16.100.6(抓取目标主機為172.16.100.6的通信資料)

組合條件：and, or, not

  例如：探測ip為6與73主機的通信

  tcpdump -i eth0 -nn host 172.16.100.6 and 172.16.200.73

  例如：探測ip為6與73主機，或者6與77主機的通信

  tcpdump -i eth0 -nn 172.16.100.6 and \(172.16.200.73 or 172.16.100.77\)

本文轉自激情燃燒的歲月部落格51CTO部落格，原文連結http://blog.51cto.com/liuzhengwei521/1926751如需轉載請自行聯系原作者

weilovepan520