tcpdump抓包
1.命令
1、抓取包含10.10.10.122的数据包
tcpdump -i eth0 -vnn host 10.10.10.122
2、抓取包含10.10.10.0/24网段的数据包
tcpdump -i eth0 -vnn net 10.10.10.0/24
3、抓取包含端口22的数据包
tcpdump -i eth0 -vnn port 22
4、抓取udp协议的数据包
tcpdump -i eth0 -vnn udp
5、抓取icmp协议的数据包
tcpdump -i eth0 -vnn icmp
6、抓取arp协议的数据包
tcpdump -i eth0 -vnn arp
7、抓取ip协议的数据包
tcpdump -i eth0 -vnn ip
8、抓取源ip是10.10.10.122数据包。
tcpdump -i eth0 -vnn src host 10.10.10.122
9、抓取目的ip是10.10.10.122数据包
tcpdump -i eth0 -vnn dst host 10.10.10.122
10、抓取源端口是22的数据包
tcpdump -i eth0 -vnn src port 22
11、抓取源ip是10.10.10.253且目的ip是22的数据包
tcpdump -i eth0 -vnn src host 10.10.10.253 and dst port 22
12、抓取源ip是10.10.10.122或者包含端口是22的数据包
tcpdump -i eth0 -vnn src host 10.10.10.122 or port 22
13、抓取源ip是10.10.10.122且端口不是22的数据
tcpdump -i eth0 -vnn src host 10.10.10.122 and not port 22
14、抓取源ip是10.10.10.2且目的端口是22,或源ip是10.10.10.65且目的端口是80的数据包
tcpdump -i eth0 -vnn ( src host 10.10.10.2 and dst port 22 ) or ( src host 10.10.10.65 and dst port 80 )
15、抓取源ip是10.10.10.59且目的端口是22,或源ip是10.10.10.68且目的端口是80的数据包。
tcpdump -i eth0 -vnn ‘src host 10.10.10.59 and dst port 22’ or ’ src host 10.10.10.68 and dst port 80 ’
16、把抓取的数据包记录存到/tmp/fill文件中,当抓取100个数据包后就退出程序。
tcpdump –i eth0 -vnn -w /tmp/fil1 -c 100
17、从/tmp/fill记录中读取tcp协议的数据包
tcpdump –i eth0 -vnn -r /tmp/fil1 tcp
18、从/tmp/fill记录中读取包含10.10.10.58的数据包
tcpdump –i eth0 -vnn -r /tmp/fil1 host 10.10.10.58
2.输出内容注释
第二列:网络协议 IP
第三列:发送方的ip地址+端口号,其中 221.5.75.35是 ip,而 http是端口号,即80
第四列:箭头 >, 表示数据流向
第五列:接收方的ip地址+端口号,其中 localhost.localdomain.是 ip,本机,而 42884是端口号。
第六列:冒号
第七列:数据包内容,包括Flags 标识符,seq 号,ack 号,win 窗口,数据长度 length,其中 [P.] 表示 PUSH 标志位为 1。
其中Flags 标识符有以下几种:
[S] : SYN(开始连接)
[P] : PSH(推送数据)
[F] : FIN (结束连接)
[R] : RST(重置连接)
[.] : 没有 Flag,由于除了 SYN 包外所有的数据包都有ACK,所以一般这个标志也可表示 ACK
3.将输出保存为.cap文件
如果你觉得命令行不习惯,还是喜欢用wireshark来查看数据包,那么你还可以使用tcpdump来保存.cap文件,然后导出cap文件,就可以用wireshark软件来打开查看了
