tcpdump 使用入门

tcpdump 使用入门
简单就是美!

1.首先:查看接口
$sudo tcpdump -D 查看接口号和接口名称(--list-interfaces)
使用时, 一般用户命令前需加sudo 前缀, root 用户不用. 观者注意鉴别.
用ifconfig 也可以查看接口名称, 但不如tcpdump -D 能给出接口号
2. 使用
$sudo tcpdump -i <接口>

如果不带参数
$sudo tcpdump
默认dump编号最小的接口

然后用grep 可以进行相关过滤, 这叫显示过滤.
当然也可以进行抓包过滤, 这就要学习一下了.

3. 过滤主机
例在接口1上抓主机ip为192.168.6.106的消息的命令如下：
$tcpdump -i 1 host 192.168.6.106
到这就算会用了.
17:50:49.920189 IP 192.168.6.106.46117 > 234.1.1.234.8005: UDP, length 1316
17:50:49.922213 IP 192.168.6.106.46117 > 234.1.1.234.8005: UDP, length 1316
....
你看,那个主机.6.106正在往外发udp 组播流呢(234.1.1.234.8005). 就是我要的.

4.过滤表达式
过滤表达式：
协议icmp，arp，tcp ，sctp，udp，ether，vlan之类；
方向源(src)，目的(dst)；
关键词 (host)主机， (port)端口， (portrange)端口范围；
协议[x:y]=z     其中x，y为十进制数字，x是协议偏移量，y是截取的字节数
可以使用关系符如(not)非，(and)与，(or)k或

tcpdump -i 1 -c 1000 -w ./test.pcap tcp port 80 and src host 192.168.6.50 and dst host 192.168.6.51
意思都很明确.
 

参考man tcpdump 及网络及实践.