tcpdump抓包相关命令

demo

抓包
tcpdump -i eth0 -w rx-1.pcap

报文回放
tcpdump -r rx-1.pcap -ne

参数：

-i 指定转包的端口（网卡名）
-n 不要将地址（主机，端口号）转化成名称。
-e 在每个转存行上打印链接级表头（用于打印以太网和IEEE 802.11等协议的mac地址）
-r 指定报文文件
-c 收到count包后退出
-v 解析和打印时，输出详细信息。
-K 不要尝试验证ip，tcp，udp的校验和。
-Q 选择应捕获数据包的接收/发送方向。（选择值in，out，inout，并非所有平台通用）
-w 写入pcap文件。
-s 指定数据包大小（默认是68字节，指定为0 是全部）

报文过滤

参数	过滤类型	案例
host、src host、dst host	过滤主机	tcpdump host 192.168.0.12
port，src port，dst port	过滤端口	tcpdump port 22
ip，ip6，arp，tcp，udp，icmp	过滤协议	tcpdump udp 192.168.0.12
and，or，not	多个组合条件	tcpdump host 192.168.0.12 and port 22

案例

1、从所有网卡获取数据包
tcpdump -i any

2、获取指定网卡的数据包
tcpdump -i eth0

3、抓取包含指定ip的数据包
tcpdump host 192.168.0.12

4、获取指定网卡和地址的数据包，并写入文件
tcpdump -i eth0 host 192.168.0.12 -w rx-1.cap

5、指定：网卡、源IP、目的IP，并写入文件
tcpdump -i eth0 src host 192.168.11.21 and dst host 192.168.0.12 -w rx-1.cap

6、指定：网卡、源IP或目的IP、写入文件
tcpdump -i eth0 src host 192.168.11.21 0r dst host 192.168.0.12 -w rx-1.cap

7、指定：网卡、tcp端口、源IP、目的IP
tcpdump -i eth0 port 22 and src host 192.168.11.21 and dst host 192.168.0.12

8、抓包显示详细信息
tcpdump -vv

9、抓取udp包
tcpdump -i eth0 udp port 22

补充

pdump命令

查看端口

dpc sys-get-hardware-stats 查看port

抓包

dpos-pdump -c 0xf -- --pdump 'port=3,queue=,rx-dev=/tmp/rx-1.pcap' --pdump 'port=3,queue=,tx-dev=/tmp/tx-1.pcap'