tcpdump抓包常用參數和用法
阿新 • • 發佈:2019-03-01
類型 cap class too 路徑 roo pac com tcp、udp
tcpdump 與wireshark
Wireshark(以前是ethereal)是Windows下非常簡單易用的抓包工具。但在Linux下很難找到一個好用的圖形化抓包工具。
還好有Tcpdump。我們可以用Tcpdump + Wireshark 的完美組合實現:在 Linux 裏抓包,然後在Windows 裏分析包。
[root@data-1-2 tools]# tcpdump tcp -s 0 -i eth0 and host 10.0.3.81 -w /tools/0427.pcap tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes ^C123 packets captured 125 packets received by filter 0 packets dropped by kernel [root@data-1-2 tools]# sz /tools/0427.pcap [root@data-1-2 tools]#
參數解釋
(1)tcp: ip icmp arp rarp 和 tcp、udp、icmp這些選項等都要放到第一個參數的位置,用來過濾數據報的類型 (2)-i eth0 : 只抓經過接口eth0的包 (3)host 10.0.3.81 只抓取本機器和10.0.3.81機器之間的數據包 (4)-s 0 : 抓取數據包時默認抓取長度為68字節。加上-s 0 後可以抓到完整的數據包 (5)-w /tools/0427.pcap : 指定保存的路徑保存成pcap文件,方便用ethereal(即wireshark)分析
工作中最常用的是如下方式
tcpdump tcp -s 0 -i eth0 and host 10.0.3.81 -w /tools/0427.pcap tcpdump tcp -s 0 -i eth0 -w /tools/0427.pcap
更多抓包匹配參數參照如下
https://www.cnblogs.com/ggjucheng/archive/2012/01/14/2322659.html
tcpdump抓包常用參數和用法