tcpdump 常用命令
tcpdump (-i eth0) (tcp/udp) (host hostname/192.168.1.100) (src/dst port (!) 80)
-i 指定网卡
选择tcp/udp
截取hostname/192.168.1.100收到所有包
源/目的端口80
以上为最常用命令 多个条件中间可以加 and 屏蔽条件可以加not
src/dst portrange port1-port2
截取port1-port2范围内端口数据包
tcpdump 'gateway' snup and (port ftp or ftp-data)
截取所有通过网管snup的ftp数据包
tcpdump host 192.168.1.100 and \ (192.168.1.101 or 192.168.1.102\)
tcpdump中的或
截取192.168.1.100与192.168.1.101或192.168.1.102通信的数据包
tcpdump 'tcp[tcpflags] & (tcp-syn|tcp-fin) != 0 and not src and dst net localnet'
截取tcp的syn/fin数据包
tcpdump -XvvennSs 0 -i eth0 tcp[20:2]=0x4745 or tcp[20:2]=0x4854
截取HTTP数据包
0x4745->"GE"
0x4854->"HT"
-w filename 数据包内容写入文件
-r filename 读取