tcpdump命令

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了tcpdump命令相关的知识,希望对你有一定的参考价值。

 tcpdump - dump traffic on a network

tcpdump其实是一款黑客软件,可以截获网络上的数据包的包头进行分析。分析数据包的流向,也可以进行监听。

同时当ping命令无法找出网络故障原因时,需要使用tcpdump分析数据包流向。

语法:

       tcpdump [ -AdDefIJKlLnNOpqRStuUvxX ] [ -B buffer_size ] [ -c count ]

               [ -C file_size ] [ -G rotate_seconds ] [ -F file ]

               [ -i interface ] [ -j tstamp_type ] [ -m module ] [ -M secret ]

               [ -Q|-P in|out|inout ]

               [ -r file ] [ -s snaplen ] [ -T type ] [ -w file ]

               [ -W filecount ]

               [ -E [email protected] algo:secret,...  ]

               [ -y datalinktype ] [ -z postrotate-command ] [ -Z user ]

               [ expression ]

常用选项:

-A 数据报的内容以ASCII显示,常用于抓取www的网页数据

-e 使用OSI第二层的MAC数据包数据显示

-nn 直接以ip与portzhanshi 

-i 指定网络接口

-w 将监听的数据保存到文件

-r 将文件中的监听数据读出来


  1. 监听网络接口

    [[email protected] ~]# tcpdump -i eth0

    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

    listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes

    05:30:17.434560 IP www.ssh > www.****.com.56599: Flags [P.], seq 3503903717:3503903925, ack 2372618714, win 169, length 208

    05:30:17.434712 IP www.****.com.56599 > www.ssh: Flags [.], ack 208, win 254, length 0

    05:30:17.435057 IP www.57189 > www.****.com.domain: 48305+ PTR? ********.in-addr.arpa. (44)

    05:30:17.437984 IP www.****.com.domain > www.57189: 48305 1/0/0 PTR www.****.com. (71)

  2. 监听某个端口的数据包

    [[email protected] ~]# tcpdump -i eth0  port 3306


以上是关于tcpdump命令的主要内容,如果未能解决你的问题,请参考以下文章

如何读懂tcpdump的输出

tcpdump抓包命令使用说明

每天学一个 Linux 命令(72):tcpdump

tcpdump命令详解

tcpdump常用命令

tcpdump详细教程