tcpdump抓包命令Ubuntu

Posted 2020-12-21

常用参数说明
-i 监听指定网卡的流量

-w 监听到的流量保存到本地

默认启动
sudo tcpdump
捕获第一个网卡发送和接受的流量

捕获指定网络接口的流量
sudo tcpdump -i ens33
抓取网卡ens33的流量

监视指定主机的流量
sudo tcpdump host 192.168.64.128
捕获经过主机192.168.64.128的进出流量

sudo tcpdump host 192.168.64.128 and 14.215.177.39
捕获主机192.168.64.128和主机14.215.177.39之间的交互流量

sudo tcpdump host 192.168.64.128 and ! 14.215.177.39
捕获主机192.168.64.128除了和14.215.177.39外的所有主机的交互流量

sudo tcpdump -i ens33 src host 192.168.64.128
捕获从网卡ens33的主机192.168.64.128发送出去的所有流量

sudo tcpdump -i ens33 dst host 192.168.64.128
捕获从网卡ens33的主机192.168.64.128接收到的所有流量

监听指定网卡的主机和端口的交互的流量
sudo tcpdump -i ens33 ‘tcp port 443 and host 14.215.177.39‘ and 192.168.64.128

sudo tcpdump -i ens33 (tcp port 443 and host 14.215.177.39) and 192.168.64.128
# ( ) 和 ‘ ‘ , 斜杠表示转义符，在括号()内的算作一组语句，两个单引号‘‘之间的算作一组语句，
# 这样做的原因防止shell对其进行错误的解析

监听指定协议的流量
sudo tcpdump -i ens33 icmp
监听icmp协议的流量

sudo tcpdump -i ens33 icmp -w ./icmp_packet.cap
监听icmp协议的流量，并且保存到当前目录下，命名为icmp_packet.cap
按Ctrl+c 保存