linux-用tcpdump抓包

简介

网络数据包截获分析工具。支持针对网络层、协议、主机、网络或端口的过滤。并提供and、or、not等逻辑语句帮助去除无用的信息。

示例

tcpdump

监听特定网卡
tcpdump -i en0

监听特定主机
出入监听：tcpdump host 182.254.38.55
只听进入：tcpdump src host 123.207.116.169
只听出去：tcpdump dst host 123.207.116.169

监听特定端口
tcpdump port 3000

监听特定协议
tcpdump tcp
tcpdump udp


监听特定网络
tcpdump net 202.0.0.0

监听组合示例：
协议+端口+来源主机
监听来自主机123.207.116.169在端口22上的TCP数据包
tcpdump tcp port 22 and src host 123.207.116.169


tcpdump tcp -i eth1 -t -s 0 -c 100 and dst port ! 22 and src net 192.168.1.0/24 -w ./target.cap
参数说明

网卡：-i
时间：-t
抓数据包
抓包长度：-s
抓包数量：-c
存储位置：-w

类型关键字

host(缺省类型): 指明一台主机，如host 210.27.48.2
net: 指明一个网络地址，如net 202.0.0.0
port: 指明端口号，如port 23

协议关键字

1.     fddi
2.     ip
3.     arp
4.     rarp
5.     tcp
6.     udp

方向关键字

src: src 210.27.48.2, IP包源地址是210.27.48.2
dst: dst net 202.0.0.0, 目标网络地址是202.0.0.0
dst or src(缺省值)
dst and src

相关文档

https://www.rationallyparanoid.com/articles/tcpdump.html
http://blog.sina.com.cn/s/blog_7475811f0101f6j5.html
http://www.cnblogs.com/chyingp/p/linux-command-tcpdump.html