tcpdump网络包抓取工具

tcpdump能够转储网络上的数据流。

命令

选项

tcpdump网络包抓取工具_第1张图片

关于expression表达式

用来选择要转储的数据报,如果没有指定expression,就转储全部的报文。否则转储相对expression为true的数据报。修饰子由三种不同的类型

a) type 指出标识名称或者标识数字代表什么类型的东西。可以使用类型有host ,net和port 例如’host  foo’, ‘net 128.3’,’port  20’。 如果不指定类型修饰子 ,就使用缺省的host 。

b) dir 方向修饰子,指出相对于标识的传输方向(数据是传入还是传出 标识)可以使用的方向有src ,dst,src or dst 和src and dst 。例如,’src  foo’  ‘dst  net  128.3’  ‘src  or  dst  port  ftp-data’ 。如果不指定方向修饰子,就使用缺省的src or dst 。

c) proto 协议装修子要求匹配指定的协议。可以使用的协议有:ether,fddi,ip,arp,rarp,decnet,lat,sca,moprc,mopdl,tcp和udp 。例如,’ether src foo’  ‘arp  net  128.3’  ‘tcp  port  21’  。如果不指定协议修饰子,就使用所有符合的协议。

d) 还有一些特殊的关键字:gateway,broadcaset,less,greater和数学表达式。例如,less  length 。(len<=length)

greater  length . ip broadcaset    ip  multicast  。

e) 操作符 。取反操作 (‘!’ or  ‘not’)  连接操作(‘&&’ or ‘and’) 或操作(‘||’ or ‘or’)

实例

1) 在指定网络接口抓取10个网络数据包

tcpdump  -i  eth0    -c  10

2) 在指定接口抓取与该主机通信的所有数据包

tcpdump  -i  eth0    host  hostname

3) 在指定接口抓取端口21上的数据包

tcpdump  -i  eth0    port  21

4) 在指定端口抓取tcp并且目标端口为80的数据包

tcpdump  -i  eth0    tcp  and  dst  port  21

5) 获取IP A和IP B之间的通信,使用命令注意转义符号

tcpdump -i eth0  host 192.168.85.21 and \( 192.168.85.19\) 

你可能感兴趣的:(tcpdump网络包抓取工具)