tcpdump命令抓包神器

一：语法
1.1.类型的关键字

关键字	意义
host	指定一台主机
net	指定一个网络地址
port	指定端口号

1.2.确定方向的关键字

关键字	意义
src xx.xx.xx.xx	ip包源地址是xx.xx.xx.xx
dst xx.xx.xx.xx	ip包目的地址是xx.xx.xx.xx

1.3.协议的关键字

关键字	意义
ip	ip协议
tcp	tcp协议
udp	udp协议
icmp	icmp协议
arp	arp协议

1.4.常用表达式，多条件时可以用括号

关键字	意义
! or not	非
&& or and	且
| or or	或

二：常用选项

选项	意义
-A	以ASCII编码打印每个报文，不包括链路层的头，主要用在分析网页上比较方便
-a	将网络地址和广播地址转变成名字
-C	判断使用-w选项保存的文件的大小是否超过这个值，超过了会按照后缀名1，2，3依次增加
-c	指定接收包的数目后，tcpdump就会停止
-e	在输出行打印出数据链路层的头部信息
-i	监听主机上指定的网卡的数据流，如果没有指定就会使用最小网卡编号的网卡
-n	显示ip而不是主机名
-N	不列出域名
-p	不让网络界面进入混在模式
-q	快速输出，仅列出少数的传输协议信息
-t	在输出的每一行不打印时间戳
-tt	在输出的每一行显示未经格式化的时间戳
-v	输出一个稍微详细的信息
-v	输出详细的报文信息
-w	直接将包写入文件中，并不分析和打印出来