规则
第一种是关于类型的关键字,主要包括:host,net,port
第二种是确定传输方向的关键字,主要包括src,dst,dst or src,dst and src
第三种是协议的关键字,主要包括ip,arp,rarp,tcp,udp
除了这三种类型的关键字外,还有其他的如:
broadcast,gateway,less,greater 三种逻辑运算,
取非运算是: not 或 !,与运算是and 或 &&,或运算 是or 或 ||
用例
- 抓取所有网卡
tcpdump -i any - 获取指定网络接口的数据包
tcpdump -i eth0 - 查看通过tcp端口80的报文
tcpdump tcp port 80 - 抓取所有 210.27.48.1 的主机收到的和发出的所有的数据包
tcpdump host 192.168.17.245 - 抓取源IP为 192.168.17.245 且 目的端口为 80 的包
tcpdump -i any src host 192.168.17.245 and dst port 80 - 抓取主机 210.27.48.1 和 主机 210.27.48.2 或 210.27.48.3 的通信
tcpdump host 210.27.48.1 and / (210.27.48.2 or 210.27.48.3 /) - 打印十六进制的网络数据包
tcpdump -X dst port 25002 - 抓取多播数据
tcpdump - v multicast and not broadcast - 保存为cap文件
cap 文件可以后续使用 wireshark 软件分析
后面可以使用 -r 来读取文件tcpdump host 192.168.17.245 -w tcpdump_raw_`date +%Y%m%e-%k-%M`.cap # 文件名形如 tcpdump_raw_20220413-14-54.captcpdump -r tcpdump_raw_YYYMMDD-H-M.cap
网友评论