tcpdump用法实例

过滤表达式学习
man pcap-filter

tcpdump抓包，wireshark分析
tcpdump -i wlan0 -s 0 'icmp' -w tshark.pcap
-s 0 : 抓取数据包时默认抓取长度为68字节。加上-S 0 后可以抓到完整的数据包

tcpdump -i eth0 -nn -X ‘port 53′ -c 1
-nn选项：
意思是说当tcpdump遇到协议号或端口号时，不要将这些号码转换成对应的协议名称或端口名称。比如，众所周知21端口是FTP端口，我们希望显示21，而非tcpdump自作聪明的将它显示成FTP。
-X选项：
告诉tcpdump命令，需要把协议头和包内容都原原本本的显示出来（tcpdump会以16进制和ASCII的形式显示），这在进行协议分析时是绝对的利器。
‘port 53′：
这是告诉tcpdump不要看到啥就显示啥。我们只关心源端口或目的端口是53的数据包，其他的数据包别给我显示出来。
-c选项：
是Count的含义，这设置了我们希望tcpdump帮我们抓几个包。我设置的是1，所以tcpdump不会帮我再多抓哪怕一个包回来。

tcpdump -i eth0 -c 1 -e
在刚才加-e选项的输出中，会发现有oui Unknown的字样，这oui是什么东东呢？在这里顺便科普一下咯：
OUI，即Organizationally unique identifier，是“组织唯一标识符”，在任何一块网卡（NIC）中烧录的6字节MAC地址中，前3个字节体现了OUI，其表明了NIC的制造组织。通常情况下，该标识符是唯一的。

tcpdump -i eth0 -l
-l 行缓冲
如果不加-l选项，那么只有全缓冲区满，才会输出一次，这样不仅会导致输出是间隔不顺畅的，而且当你ctrl-c时，很可能会断到一行的半截，损坏统计数据的完整性。

tcpdump -i eth0 -c 1 -t
-t 输出时不打印时间戳

tcpdump -i eth0 -c 1 -t -F filter.txt
-F filter.txt 按照文件里的过滤规则

tcpdump -i eth0 -w flowdata
-w选项 将流量保存到文件中，二进制格式的raw packets（原始网络包）
tcpdump -r flowdata
-r - 读取raw packets文件

tcpdump -i eth0 -c 10 'udp'
tcpdump具有根据网络包的协议来进行过滤的能力，我们还可以把udp改为ether、ip、ip6、arp、tcp、rarp等。

查看这个源机器和那个目的机器之间的网络包，不想被其他无关的机器打扰
tcpdump -i eth0 'dst 8.8.8.8'

查目标机器端口是53或80的网络包，其他端口的我不关注
tcpdump -i eth0 -c 3 'dst port 53 or dst port 80'
我们可以设置过滤类型，上面例子中我们使用了port这个类型，就是来指定端口。当然，tcpdump还支持如下的类型：
1 host：指定主机名或IP地址，例如’host linux’或’host 202.112.18.34′
2 net ：指定网络段，例如’arp net 128.3′或’dst net 128.3′
3 portrange：指定端口区域，例如’src or dst portrange 6000-6008′

我想抓到那些通过eth0网卡的，且来源是linux.cn服务器或者目标是linux.cn服务器的网络包
tcpdump -i eth0 'host linux.cn'

我想抓通过eth0网卡的，且linux.cn和baidu.com之间通讯的网络包，或者，linux.cn和qiyi.com之间通讯的网络包
tcpdump -i eth0 'host linux.cn and (baidu.com or qiyi.com)'

我想获取使用ftp端口和ftp数据端口的网络包
tcpdump 'port ftp or ftp-data'

我想获取linux.cn和baidu.com之间建立TCP三次握手中第一个网络包，即带有SYN标记位的网络包，另外，目的主机不能是qiyi.com
tcpdump 'tcp[tcpflags] & tcp-syn != 0 and not dst host qiyi.com'

打印IP包长超过576字节的网络包
tcpdump 'ip[2:2] > 576'

 

打印广播包或多播包，同时数据链路层不是通过以太网媒介进行的。
tcpdump 'ether[0] & 1 = 0 and ip[16] >= 224'