还用tcpdump一般使用的命令如下:

  tcpdump -i any -n host X.X.X.X and port X -w test.cap

  表明监听任何网络接口,抓取ip和端口为X.X.X.X:X主机上的包,并将结果写到test.cap上。

然后用wireshark软件打开test.cap,右键Follow TCP Stream,就可以看到关于包的信息。

 

附:

tcpdump选项
选项     含义
-A                      以ASCII格式打印出所有分组,并将链路层的头最小化
-d                      将匹配信息包的代码以人们能够理解的汇编格式给出
-D                     打印出系统中所有可以用tcpdump截包的网络接口
-ddd                 将匹配信息包的代码以十进制的形式输出
-e                      在输出行打印出数据链路层的头部信息
-f                       将外部的Internet地址以数字的形式打印出来
-l                       使标准输出变为缓冲行形式
-L                      列出网络接口的已知数据链路
-n                     不把网络地址转换成名字
-N                    不输出主机名中的域名部分,如“kongove.ubuntu.cn”只输出“kongove”
-O                    不运行分组分组匹配(packet-matching)代码优化程序
-p                    不将网络接口设置成混杂模式
-q     快速输出,只输出较少的协议信息
-S     将tcp的序列号以绝对值形式输出,而不是相对值
-t     在输出的每一行不打印时间戳
-u     输出未解码的NFS句柄
-v     输出一个稍微详细的信息,例如在ip包中可以包括ttl和服务类型的信息
-vv     输出详细的报文信息
-c count     指定监听数据包数量,当收到指定的包的数目后,tcpdump就会停止
-C file_size     限定数据包写入文件大小
-F file     从指定的文件中读取表达式,忽略其它的表达式
-i interface     指定监听网络接口
-m module     打开指定的SMI MIB组件
-M secret     如果tcp报文中存在TCP-MD5选项,则需要用secret作为共享的验证码用于验证TCP-MD5选选项摘要(详见RFC 2385)
-r file     从指定的文件中读取包(这些包一般通过-w选项产生)
-s snaplen     从每个分组中读取最开始的snaplen个字节,而不是默认的68个字节
-T type     将截取的数据包直接解释为指定类型的报文,常见类型有rpc(远程过程调用)和snmp(简单网络管理协议),还包括aodv、cnfp、rpc、rtp、rtcp、snmp、tftp、vat、wb等
-w file     指定将监听到的数据包写入文件,不分析和打印数据包
-W filecount     限定能写入文件数据包的数量
-E spi@ipaddr algo:secret,...     用spi@ipaddr algo:secret解密那些以addr作为地址,并且包含了安全参数索引值spi的IPsec ESP分组
expression     综合表达式

posted on 2014-06-18 16:03  cchun  阅读(445)  评论(0编辑  收藏  举报