linux 查看网络包命令,网络/命令行抓包工具Tcpdump详解

概述

用简单的话来定义tcpdump，就是：dump the traffic on a network，根据使用者的定义对网络上的数据包进行截获的包分析工具。

tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤，并提供and、or、not等逻辑语句来帮助你去掉无用的信息。

tcpdump基于底层libpcap库开发，运行需要root权限。

一、tcpdump安装

1.环境 虚拟机：vmware 15.5.2 os: ubuntu 12.04

2.安装tcpdump

sudo apt-get install tcpdump

3. 版本查看

tcpdump--h

tcpdump version 4.0。

libpcap version 1.1.1 表示libpcap的版本。

二、tcpdump参数常用参数

选项说明：

三、命令选项使用举例

1. 截获主机收到和发出的所有数据包。

命令：

tcpdump

说明：

tcpdump截取包默认显示数据包的头部。

普通情况下，直接启动tcpdump将监视第一个网络接口上所有流过的数据包。

基础格式：时间 数据包类型 源IP 端口/协议 > 目标IP 端口/协议 协议详细信息

按下Ctrl+C会终止tcpdump命令。且会在结尾处生成统计信息。

终止tcpdump

2. 指定抓包数量 -c

指定抓取2个数据包。

命令：

tcpdump -c 2

说明：

最后会自动生成统计信息。