tcpdump详解

 tcpdump抓包命令,可以抓取整个网络中的所有数据包

       -i 

  例:tcpdump -i eth0监控经过eth0网卡的数据包

  port指定端口 

  例:tcpdump -nn -i port 80

  -v详细显示

  -vv更详细

  -A 以ASCII的方式进行解码

  -r从某个文件读取抓取结果的

  -tttt

       -n 以数字的方式来显示主机地址

  -nn 表示以数字的方式显示主机地址和端口号

  -d将匹配信息包的代码以人们能够理解的会变格式显示

  -dd将匹配信息报的代码以c语言程序段的格式显示

  -ddd将匹配信息报的代码以十进制的形式给出

  -e在输出行打印出数据链路层的头部信息

  -f将外部的Internet地址以数字形式显示出来

  -l使标准输出变为缓冲行形式

  -n不把网络地址转换成名字

  -t在输出的每一行不打印时间戳

  -c在收到指定的包的数目后,tcpdump就会停止

  -F从指定的文件中读取表达式,忽略其他表达式

  -i指定监听的网络接口

  -r从指定的文件中读取包(一般是由-w选项产生)

  -w直接将包写入文件中,并不分析和打印出来

  -T将监听到的包直接解释为指定的类型的报文

  -X显示数据包的内容

  tcpdump [options] [Protocol] [Direction] [Host(s)] [Value] [Logical Operations] [Other expression]

  Protocol(协议):

       Values(取值): ether(以太网), fddi(分布式网络通道接口), ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp.

       If no protocol is specified, all the protocols are used. 

 

       Direction(流向):

       Values(取值): src(目标ip地址流出的数据包), dst(目标主机名流出的数据包), src and dst, src or dst

       If no source or destination is specified, the "src or dst" keywords are applied. (默认是src or dst)

      

 

       Host(s)(主机):

       Values(替代关键字): net(网络地址), port(端口号), host, portrange.

       If no host(s) is specified, the "host" keyword is used. 默认如果此段没有指定关键字，默认即host。