linux之tcpdump命令

在日常系统维护中,遇到需要抓包的需求,下面对linux环境使用tcpdump命令进行抓包进行分析记录。tcpdump命令可用抓取流动在网卡上的数据包。

1、tcpdump常用参数说明

  • -c : 抓包次数,达到指定次数后停止抓包
  • -C : 文件大小,写入文件前判断文件是否超过了设置的大小,超过了则关闭当前文件,开启新文件
  • -i : 指定监听的网络接口
  • -nn : 不进行端口名称的转换
  • -r : 从指定文件中读取包
  • -s : 设置每个数据包的大小
  • -t : 在输出的每一行不打印时间戳
  • vv : 输出详细的报文信息
  • -w : 保存到指定文件中而不是打印出来,如tcpdump -w /tmp/test.pcap

2、tcpdump支持的过滤方式

过滤项 过滤项说明 示例
host、src host、dst host 过滤主机 tcpdump host 192.168.11.11
port,src port,dst port 过滤端口 tcpdump port 9999
ip,ip6,arp,tcp,udp,icmp 过滤协议 tcpdump udp 192.168.11.11
and,or,not 逻辑表达式 tcpdump host 192.168.11.11 and port 9999

3、实例

  1. 从所有网卡获取数据包
    tcpdump -i any
  2. 获取指定网卡的数据包
    tcpdump -i eth0
  3. 抓取包含指定ip的数据包
    tcpdump host 192.168.11.11
  4. 获取指定网卡和地址的数据包,并写入文件
    tcpdump -i eth0 host 192.168.11.11 -w testfile.cap
  5. 指定:网卡、源IP、目的IP,并写入文件
    tcpdump -i eth0 src host 192.168.11.21 and dst host 192.168.11.11 -w testfile.cap
  6. 指定:网卡、源IP或目的IP、写入文件
    tcpdump -i eth0 src host 192.168.11.21 0r dst host 192.168.11.11 -w testfile.cap
  7. 指定:网卡、tcp端口、源IP、目的IP
    tcpdump -i eth0 port 19999 and src host 192.168.11.21 and dst host 192.168.11.11
  8. 抓包显示详细信息
    tcpdump -vv
  9. 抓取udp包
    tcpdump -i eth0 udp port 9999
  10. 抓取指定端口
    tcpdump udp port 8801 -w /tmp/test.cap
相关推荐
用户31187945592186 小时前
Kylin Linux 10 安装 glib2-devel-2.62.5-7.ky10.x86_64.rpm 方法(附安装包)
linux
涛啊涛7 小时前
Centos7非LVM根分区容量不足后扩容,对调硬盘挂载/
linux·磁盘管理
CYRUS_STUDIO1 天前
用 Frida 控制 Android 线程:kill 命令、挂起与恢复全解析
android·linux·逆向
熊猫李1 天前
rootfs-根文件系统详解
linux
dessler1 天前
Hadoop HDFS-高可用集群部署
linux·运维·hdfs
泽泽爱旅行1 天前
awk 语法解析-前端学习
linux·前端
轻松Ai享生活2 天前
5 节课深入学习Linux Cgroups
linux
白帽黑客沐瑶2 天前
【网络安全就业】信息安全专业的就业前景(非常详细)零基础入门到精通,收藏这篇就够了
网络·安全·web安全·计算机·程序员·编程·网络安全就业
christine-rr2 天前
linux常用命令(4)——压缩命令
linux·服务器·redis
三坛海会大神5552 天前
LVS与Keepalived详解(二)LVS负载均衡实现实操
linux·负载均衡·lvs