tcpdump命令

-l:使标准输出变为缓冲行形式;
-c:抓包次数;
-nn:直接以 IP 及 Port Number 显示,而非主机名与服务名称;
-s :<数据包大小> 设置每个数据包的大小;
-i:指定监听的网络接口;
-r:从指定的文件中读取包;
-w:输出信息保存到指定文件;
-a:将网络地址和广播地址转变成名字;
-d:将匹配信息包的代码以人们能够理解的汇编格式给出;
-e:在输出行打印出数据链路层的头部信息;
-f:将外部的Internet地址以数字的形式打印出来;
-t:在输出的每一行不打印时间戳;
-v :输出稍微详细的报文信息;--vv则输出更详细信息。

使用示例

tcpdump -i eth0 #从指定网卡中获取数据包
tcpdump -i eth0 -w packet_file #将所有获取到的包写入文件中
tcpdump -r packet_file #读取之前产生的文件
tcpdump host 192.168.1.1 #获取指定ip的数据包,不管是作为源地址还是目的地址
tcpdump src 192.168.1.1 #指定ip是源地址
tcpdump dst 192.168.1.1 #指定ip是目的地址
tcpdump icmp #查看icmp协议的数据包
tcpdump port 22 #捕获22端口的数据包
tcpdump portrange 22-125 #捕获一个端口范围内的数据包
tcpdump -D #列出可以抓包的网络接口
#可以使用and,or,not将多个条件组合起来