linux下网络数据包抓取工具tcpdump学习小结

1.tcpdump

       tcpdump可以根据使用者的定义对网络上的数据包进行截获并分析。 tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤，并提供and、or、not等逻辑语句来帮助你去掉无用的信息。

2.tcpdump的使用方法

（1）使用格式

tcpdump [options] [-i 网络接口] [-w 数据包dump到的目标文件] [-c 监听次数] [-r dump出来的文件] [数据包筛选规则]

（2）重要的选项

-i  #指定要监听的网络接口，如eth0，eth1，lo等  
-nn  #直接以ip和port显示，而非主机名或服务名称
-w filename  #将监听所得的数据包存储到文件中
-r filename  #从指定tcpdump出来的文件中读取dump文件
-c num  #指定监听的数据包数，如果不指定-c，那么tcpdump会持续不断的监听

3.使用举例

#(1)监听eth0接口
tcpdump -i eth0 -nn
#(2)监听eth0接口且满足“port为21的数据包”的筛选规则
tcpdump -i eth0 -nn 'port 21'
#(3)监听eth0接口且满足“port为22且源主机为192.168.1.101的数据包”的筛选规则
tcpdump -i eth0 -nn 'port 22 and src host 192.168.1.101'

备注：wireshark是图形化的数据包抓取工具，和tcpdump实现的功能是一致的。