tcpdump的用法

Posted 2022-11-25 michellfan

TCPDump可以将网络中传送的数据包完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤，并提供and、or、not等逻辑语句来帮助你去掉无用的信息。

 

tcpdump -b arp or arap将只显示网络中的arp即地址转换协议信息；tcpdump -i eth0 只显示通过eth0接口上的所有报头；

tcpdump src host 192.168.0.1 and dst net 192.168.0.0/24

–––过滤的是源主机为192.168.0.1与目的网络为192.168.0.0的报头；

tcpdump ether src 00:50:04:BA:9B and dst……过滤源主机物理地址为XXX的报头；

Tcpdump src host 192.168.0.1 and dst port not telnet

–––过滤源主机192.168.0.1和目的端口不是telnet的包；

tcpdump -i eth2 –w mstu2ether2.cap –s 0

–––指定保存抓包结果的文件，"-s 0"指定是抓的完整包；

tcpdump port 9020–––抓取端口号9020上的数据

–n   不解析IP地址；

 

备注1：

在抓包命令最后面再加一个&，这样可以后台一直抓。这样的话，登录窗口可以关掉。你想停止抓包，则得用PS把进程杀死。

 

备注2：

ip icmp arp rarp 和 tcp、udp、icmp这些选项等都要放到第一个参数的位置，用来过滤数据报的类型。
例如：
tcpdump ip src……
只过滤数据-链路层上的IP报头。
tcpdump udp and src host 192.168.0.1
只过滤源主机192.168.0.1的所有udp报头。