tcpdump

简介

Linux tcpdump命令用于倾倒网络传输数据。执行tcpdump指令可列出经过指定网络界面的数据包文件头。这个命令需要管理员权限才能执行。

语法

tcpdump [-adeflnNOpqStvx][-c <数据包数目>][-dd][-ddd][-F <表达文件>][-i <网卡设备>][-r <数据包文件>][-s <数据包大小>][-tt][-T <数据包类型>][-vv][-w <数据包文件>][输出数据栏位]

参数

• -a 尝试将网络和广播地址转换成名称。
• -c <数据包数目> 收到指定的数据包数目后，就停止进行倾倒操作。
• -d 把编译过的数据包编码转换成可阅读的格式，并倾倒到标准输出。
• -i <网卡设备> 使用指定的网络截面送出数据包。例如eth0、wlan0等。
• -w <数据包文件> 把数据包数据写入指定的文件。可以使用xxx.cap文件保存，再使用wireshark来解析文件。
• -n 不把主机的网络地址转换成名字。
• port <端口号> 指定监听端口号。
• tcp 只监听tcp协议。
• udp 只监听udp协议。

例子

tcpdump -i eth1 -c 23 -n tcp port 3000 -w tcps.cap &

• 监听eth1的3000号端口，只记录tcp协议，接收完23个数据包后退出程序并将抓包结果存入tcps.cap文件。程序后台运行。

tcpdump -i wlan0 -c 23 -n tcp -w tcpc.cap &

• 监听wlan0的tcp数据包，接收完23个数据包后退出程序并将抓包结果存入tcpc.cap文件。程序后台运行。

参考

1、https://www.runoob.com/linux/linux-comm-tcpdump.html