tcpdump抓包指令
tcpdump抓包指令
-
查看指令:
tcpdump -h tcpdump version 4.9.1 libpcap version 1.9.1 (with TPACKET_V3) OpenSSL 1.1.1i 8 Dec 2020 Usage: tcpdump [-aAbdDefhHIJKlLnNOpqStuUvxX#] [ -B size ] [ -c count ] [ -C file_size ] [ -E algo:secret ] [ -F file ] [ -G seconds ] [ -i interface ] [ -j tstamptype ] [ -M secret ] [ --number ] [ -Q in|out|inout ] [ -r file ] [ -s snaplen ] [ --time-stamp-precision precision ] [ --immediate-mode ] [ -T type ] [ --version ] [ -V file ] [ -w file ] [ -W filecount ] [ -y datalinktype ] [ -z postrotate-command ] [ -Z user ] [ expression ] -
抓取
br-lan上的数据包,过滤IP地址为192.168.0.50,并将抓包数据写入文件/tmp/lan.pcap:tcpdump -i br-lan host 192.168.0.50 -w /tmp/lan.pcap可以替换不同的接口,不同的IP。
指定源IP:
tcpdump -i br-lan src 192.168.0.50 -w /tmp/lan.pcap指定目的IP:
tcpdump -i br-lan dst 192.168.0.50 -w /tmp/lan.pcap同时指定源IP和目的IP:
tcpdump -i br-lan dst 192.168.0.50 && src 192.168.0.1 -w /tmp/lan.pcap通常建议后台抓包,这样不会阻塞串口,可以继续输入指令。如:
tcpdump -i br-lan &抓包结束后,kill掉tcpdump:
killall tcpdump -
指定MAC地址抓包:
tcpdump -i br-lan ether host 5E:62:8B:55:FA:82指定源MAC地址抓包:
tcpdump -i br-lan ether src 5E:62:8B:55:FA:82指定目的MAC地址抓包:
tcpdump -i br-lan ether src 5E:62:8B:55:FA:82 -
过滤协议
-
UDP和端口68
tcpdump -i br-lan udp and port 68 -w /tmp/dhcp.pcap -
TCP和端口80
tcpdump -i br-lan tcp and port 80 -w /tmp/http.pcap -
ICMP
tcpdump -i br-lan icmp -w /tmp/icmp.pcap
-
-
过滤二层包, 即以太层,ethernet
tcpdump -i br-lan -e打印更多的信息:
tcpdump -i br-lan -e -v -
指定抓1M大小的数据包:
tcpdump -i br-lan -C 1M -w /tmp/1m.pcap抓1K大小的数据包:
tcpdump -i br-lan -C 1K -w /tmp/1k.pcap -
指定抓100个数据包:
tcpdump -i br-lan -c 100 -
指定抓10秒的数据包:
tcpdump -i br-lan -G 10 -
指定抓包的方向:
tcpdump -i eth0 -Q in或者:
tcpdump -i eth0 -Q out -
TBD
浙公网安备 33010602011771号