tcpdump抓包命令
简介:tcpdump是一个可以根据需求来抓取网络上传输的数据包的工具
常用的命令选项有:
-c:设定抓取的数量
-i:指定监听的网口
-w:将抓取的数据包保存到文件
-s:截取报文的内容,默认截取96字节,-s0表示截取全部
-r:读取数据包内容
-C 10:每10M保存一个包
-G 600:每10分钟保存一个包
过滤的参数规则:
host:指定主机名
net:指定网段
port:指定端口
portrange:指定端口范围
连接运算符
and:所有的条件都满足
or:只要满足一个条件
not:取反,也可以用!
例子:
1、抓取主机172.0.0.1的eth0网口的8080、8081端口传输的数据包并保存文件
tcpdump -i eth0 -s0 port 8080 or port 8081 host 172.0.0.1 -w 1.pcap
2、按 crtl+c 停止抓包,当前目录会生成一个1.pcap文件
3、简单查看数据包内容
tcpdump -r 1..pcap
注:一般对抓取的数据包用Wireshark工具进行分析