tcpdump详解

数据包简要说明

以太网层 14个字节 mac (6*2) + type (2) = 14
ip头部 20个字节
tcp头部 20个字节
实际数据 偏移 54 十六进制 0x38(大多数情况,也不一定是这个,具体字段可以看下面图片)

基本过滤

host

 tcpdump [src dst] host 192.168.1.1 -XXvvvnn -s 0 -c 1

port

 tcpdump [src dst] port 80 -XXvvvnn -s 0 -c 1

net

 tcpdump [src dst] net 192.168 -XXvvvnn -s 0 -c 1

ip/tcp/udp

 tcpdump [ip tcp udp]  -XXvvvnn -s 0 -c 1

表达式

以上过滤条件和用表达式连接
and or not
&& || !

高级过滤

通过分析包内容,或者协议头,设置特征从而过滤其中内容

抓取q* 协议包

 tcpdump  'tcp[38:2]=0x3232' -XXvvvnn -s 0 -c 1

大小过滤

 tcpdump  'ip[2:2]>600' -XXvvvnn -s 0 -c 1

GET 过滤

 tcpdump  'tcp[(tcp[12>>2):4]=0x47455420' -XXvvvnn -s 0 -c 1

保存文件Wireshark分析

tcpdump -s 0 -w /sdcard/test.cap

注意

上面 -c 参数为 1 仅为测试,如果抓多个包自行修改

参考
tcpdump 详解