tcpdump 抓包

tcpdump手册

规则

第一种是关于类型的关键字，主要包括：host，net，port
第二种是确定传输方向的关键字，主要包括src，dst，dst or src，dst and src
第三种是协议的关键字，主要包括ip，arp，rarp，tcp，udp
除了这三种类型的关键字外，还有其他的如：
broadcast，gateway，less，greater 三种逻辑运算，
取非运算是： not 或 !，与运算是and 或 &&，或运算 是or 或 ||

用例

• 抓取所有网卡

  tcpdump -i any
  

• 获取指定网络接口的数据包

  tcpdump -i eth0   
  

• 查看通过tcp端口80的报文

  tcpdump tcp port 80
  

• 抓取所有 210.27.48.1 的主机收到的和发出的所有的数据包

  tcpdump host 192.168.17.245
  

• 抓取源IP为 192.168.17.245 且 目的端口为 80 的包

  tcpdump -i any src host 192.168.17.245 and dst port 80
  

• 抓取主机 210.27.48.1 和 主机 210.27.48.2 或 210.27.48.3 的通信

  tcpdump host 210.27.48.1 and / (210.27.48.2 or 210.27.48.3 /)
  

• 打印十六进制的网络数据包

  tcpdump -X dst port 25002
  

• 抓取多播数据

  tcpdump - v multicast and not broadcast
  

• 保存为cap文件
  cap 文件可以后续使用 wireshark 软件分析

  tcpdump host 192.168.17.245 -w tcpdump_raw_`date +%Y%m%e-%k-%M`.cap  # 文件名形如 tcpdump_raw_20220413-14-54.cap
  

  后面可以使用 -r 来读取文件

  tcpdump -r tcpdump_raw_YYYMMDD-H-M.cap