tcpdump

1.选项

选项影响数据包信息的输出形式

-i：指定监听网络接口名称

-c：指定抓包个数

-w：将信息保存至文件

 

2.过滤条件

tcpdump根据过滤条件来捕捉满足条件的数据包

方向：src dst  src or dst（默认）

地址标识:host（默认），port

协议：网络层或传输层的协议名

复合条件：and ，or，&&,||,!,\(exper\)

操作符：>,<,<=,>=,!=,=，&

值过滤：对数据包的某个字段进行检验

 

值过滤

proto[expr:size]

proto代表协议，expr代表起始位置，单位是字节，size代表提取长度，单位是字节。整个表达式代表一个字段的值。

值过滤中的可读变量

tcp-ack,tcp-syn,tcp-rst,tcp-fn

 

 

3.举例

捕捉192.168.10.80和192.168.100.81之间的通信包

tcpdump  192.168.100.80 and 192.168.100.81

 

括号的使用格式