tcpdump命令的使用
tcpdump -vvnn -c 10 -s 0 -i eth0 “tcpdump原语表达式”
-vvnn:显示ip地址而不是主机名
-c:抓包次数
-s:抓包大小,大于这个值的包内容会被截断,0表示不限制大小,显示全部内容
-i: 抓取通过指定网卡的包,不指定就是所有网卡
tcpdump 原语表达式:
- 协议:ip、arp、rarp、tcp、udp、icmp、http、ether(数据链路层协议)
- 传输方向:src、dst、dst or src、dst and src、broadcast(广播)、multicast(组播)
- 类型:host(ip或mac地址 ,ether协议下是mac地址)、net(网络号)、port(端口号)、portrange(22-99 端口范围)
原语格式:协议 + [传输方向] + 类型 + 具体数值
原语组合方式: &&(与),||(或),!(非)
