Tcpdump的常用使用方法

常用参数

-w   文件名      保存抓取的包至文件

-c    数量         抓取报文固定数量，抓取完成后自动退出

-C   size          单位为MB

-s    长度         抓取报文的长度

-n                    不做地址转换

-v/-vv/-vvv        打印详细报文

-e                     打印二层信息，特别是MAC地址

-p                     关闭混杂模式，目的地址非本机地址不抓取

-X                    显示报文16进制报文内容

-i    网卡名称     指定抓取的网卡名称                 

常用例子：

针对指定主机抓包

tcpdump -i any -n -nn host xxx.xxx.xxx.xxx -w ./$(date +%Y%m%d%H%M%S).pcap

针对指定端口抓包

tcpdump -i any -n -nn port 80 -w ./$(date +%Y%m%d%H%M%S).pcap

针对主机和端口抓包，两者关系 and

tcpdump -i any -n -nn host xxx and port 80 -w ./$(date +%Y%m%d%H%M%S).pcap

针对多个端口抓包

tcpdump -i any -n -nn port 111 or port 443

针对多个主机抓包

tcpdump -i any -n -nn host www.baidu.com or www.360.com

 

通过偏移量抓取包

 抓取报文后隔指定的时间保存一次 即按抓取时间进行保存

tcpdump -s 0 -G 60 -Z root  -W 2 -w %Y_%m%d_%H%M_%S.cap

 - G 选项后面接时间，单位为秒；本例中的时间为60秒。

 -w 抓包的名字以时间戳命名 %Y_%m%d_%H%M_%S.cap

-s 指定数据包截断的长度，0表示不截断，tcpdump默认截断68字节

 - W 限制文件的个数，达到个数后开始从最早的文件覆盖  实际目录下会产生 +1个文件目录  实际测试还是自动推出了

 

抓取报文后达到指定的大小保存一次  进行自动轮转  即按指定大小进行pcap文件保存

tcpdump -s 0 -C 1 -Z root -W 1 -w $(date +%Y%m%d%H%M%S).pcap

- C（大写）表示每当文件达到指定大小时进行重新保存一个新文件,单位是MB（1 000 000 B）

- Z (小写) 表示下面的新文件也是用root权限来执行的，如果用 - C 时必须配合-Z（大写Z）

- w 直接将分组写入文件中

- W 限制文件的个数，达到个数后开始从最早的文件覆盖  实际目录下会产生 +1个文件目录