很久之前就知道tcpdump
是个Linux抓包工具,由于它是命令行的,打印出来的东西也是纯文本的,当时我觉得太不人性化了,打印一堆东西完全分析不了什么,何况我基本都没必要去抓包啊,又不是搞网络的。虽然言之有理,但是学多点东西也不是不好。知识不是用到了才去学,而是学了可以防身~
tcpdump基本功能
使用$tcpdump --help
打印出这么堆东西,谁看了都不想学了,宁可自废双眼。
tcpdump [ -AbdDefhHIJKlLnNOpqStuUvxX# ] [ -B buffer_size ]
[ -c count ] [ -C file_size ]
[ -E [email protected] algo:secret,... ]
[ -F file ] [ -G rotate_seconds ] [ -i interface ]
[ --immediate-mode ] [ -j tstamp_type ] [ -m module ]
[ -M secret ] [ --number ] [ --print ] [ -Q in|out|inout ]
[ -r file ] [ -s snaplen ] [ -T type ] [ --version ]
[ -V file ] [ -w file ] [ -W filecount ] [ -y datalinktype ]
[ -z postrotate-command ] [ -Z user ]
[ --time-stamp-precision=tstamp_precision ]
[ expression ]
那就去粗取精,学几个比较常用的,其他的择需就行了,也许这辈子都永不到呢。看看下面这些参数:
-i
:抓取经过指定网卡的包,如:
$tcpdump -i etho
参数
-