目录
1.格式:
2.参数
3.过滤表达式:
4.示例:
tcpdump 是一款在 Unix 和类 Unix 系统上广泛使用的网络分析工具,它能够捕获网络接口上传输的数据包,并提供多种选项来过滤和展现这些数据包的详细信息。这里是 tcpdump 的一些基本用法和选项的详解.
1.格式:
tcpdump [options] [filter-expression]2.参数
-i : 指定要监听的网卡接口。如果不指定,tcpdump 通常会选择一个默认的接口。
-n: 不解析主机名(即不进行 DNS 反向解析),直接显示 IP 地址。
-nn: 不解析主机名和端口名。
-X: 以十六进制和 ASCII 显示数据包的内容。对于调试或分析非常有用。
-XX: 与 -X 类似,但还会显示以太网头。
-v, -vv, -vvv: 增加输出的详细程度。
-c : 捕获指定数量的数据包后停止。
-s : 设置捕获数据包的长度。默认情况下,tcpdump 只捕获每个数据包的前 68 字节。设置 -s0 可以捕获整个数据包。
-w : 将捕获的数据包写入文件而不是直接显示在屏幕上。
-r : 读取并显示之前用 -w 选项保存的数据包文件。3.过滤表达式:
过滤表达式用于定义捕获数据包时使用的规则,例如根据协议、端口、主机地址等来过滤。一些常用的表达式如下:
host : 只捕获所有发送到或从指定主机传出的 IP 数据包。
src : 只捕获从指定源主机传出的数据包。
dst : 只捕获发送到指定目的主机的数据包。
port : 只捕获指定端口的数据包。
src port : 只捕获指定源端口的数据包。
dst port : 只捕获指定目的端口的数据包。
net : 只捕获特定网络上的数据包。
proto : 只捕获指定协议的数据包,如 icmp、udp、tcp 等。4.示例:
#捕获所有经过eth0网卡,源或目的端口443,源或目的IP为192.168.1.1的数据包
tcpdump -i eth0 -nn -X -vv tcp port 443 and ip host 192.168.1.1#捕获所有经过 eth0 接口的 TCP 数据包
tcpdump -i eth0 tcp
#捕获所有到达或离开主机 192.168.1.1 的数据包,且不进行主机名解析
tcpdump -n host 192.168.1.1
#捕获指定网络上的所有数据包,并显示更多的协议信息
tcpdump net 192.168.1.0/24 -vv
#实时查看经过 eth0 端口,来源或目的为 192.168.1.1 端口 22 的数据包内容
tcpdump -i eth0 -X 'host 192.168.1.1 and port 22'
#捕获所有目标或源端口为 80 的数据包,并将其保存到文件中
tcpdump port 80 -w capture_file.pcap
#读取并显示保存的数据包文件内容
tcpdump -r capture_file.pcap
