tcpdump - 技术栈

文章目录

1.选项解释
2.表达式用法

tcpdump 是一个强大的网络数据包捕获工具，用于在网络接口上捕获和显示通过的数据包。它通常用于网络故障排除和安全分析。下面详细介绍 tcpdump 及其用法。

1.选项解释

以下是 tcpdump 的选项和用法，以表格形式展示：

选项	说明
`-A`	以 ASCII 格式显示数据包内容
`-b`	打印 AS 数字
`-B size`	设置缓冲区大小（以 KiB 为单位）
`-c count`	捕获指定数量的数据包后停止
`--count`	与 `-c` 相同
`-C file_size`	将捕获的数据包文件切分为指定大小的文件
`-d`	将数据包显示为伪代码形式
`-dd`	将数据包显示为 C 程序格式
`-ddd`	将数据包显示为十进制数格式
`-D`	列出所有可用的网络接口
`-E algo:secret`	使用指定算法和密钥解密 IPsec 流量
`-f`	将数据包的外部地址显示为数字格式
`-F file`	从指定文件读取过滤器表达式
`-G seconds`	将捕获文件按指定时间间隔轮换
`-h`	显示帮助信息并退出
`-H`	打印以太网头部中的 TTL 和 ID
`-I`	设置为监视模式（仅适用于无线接口）
`-j tstamptype`	设置时间戳类型
`-J`	列出可用的时间戳类型
`-K`	不校验 IP 和 TCP/UDP 校验和
`-l`	将标准输出设为缓冲模式
`-L`	显示已知的数据链路类型并退出
`-M secret`	使用指定密钥验证 IPsec 流量
`-n`	不解析主机名（将 IP 地址显示为数字格式）
`-N`	不打印域名部分
`--number`	与 `-c` 相同
`-O`	不进行优化
`-p`	不置混杂模式
`-q`	快速输出（不显示数据包的冗余信息）
`-Q in	out
`-r file`	从文件中读取数据包
`-R`	打开 RPC 解码
`-s snaplen`	设置捕获的快照长度
`-S`	打印绝对序列号
`-t`	不打印时间戳
`-tt`	打印完整的时间戳（秒）
`-ttt`	打印时间戳间隔（微秒）
`-tttt`	打印完整的日期和时间
`-T type`	强制将数据包解码为指定类型
`--time-stamp-precision precision`	设置时间戳精度（秒、微秒、纳秒）
`--micro`	使用微秒时间戳
`--nano`	使用纳秒时间戳
`--version`	显示版本信息并退出
`-v`	打印更多信息（冗长模式）
`-vv`	打印更多详细信息
`-vvv`	打印最详细的信息
`-V file`	从指定文件中读取数据包
`-w file`	将捕获的数据包写入文件
`-W filecount`	在写入文件时循环使用文件名
`-x`	以十六进制格式显示数据包内容
`-X`	以十六进制和 ASCII 格式显示数据包内容
`-y datalinktype`	设置数据链路类型
`-z postrotate-command`	捕获文件轮换后的命令
`-Z user`	设置捕获进程的用户 ID
`expression`	设置捕获过滤表达式

这是 tcpdump 的常见选项及其用途。根据具体需求组合使用这些选项，可以更高效地捕获和分析网络数据包。

2.表达式用法

tcpdump 表达式用于过滤捕获的数据包，确保只捕获和显示符合特定条件的数据包。这些表达式由一个或多个原子条件和布尔运算符（如 AND、OR 和 NOT）组合而成。下面详细介绍 tcpdump 表达式的用法。

c 复制代码

tcpdump host 192.168.1.1  	# host：指定的主机，例如 IP 地址或主机名
tcpdump net 192.168.1.0/24		#net：指定的网络
tcpdump port 80		#port：指定的端口号。

tcpdump src 192.168.1.1		# src：源地址。
tcpdump dst 192.168.1.1		# dst：目的地址。

# 指定协议类型
tcpdump ip
tcpdump tcp

tcpdump src 192.168.1.1 and dst port 80 	# 用 and 或 &&。
tcpdump src 192.168.1.1 or dst port 80		# 用 or 或 ||
tcpdump not src 192.168.1.1			# 用 not 或 !

# 使用括号来明确表达式的优先级
tcpdump 'src 192.168.1.1 and (dst port 80 or dst port 443)'