tcpdump抓包命令

简介：tcpdump是一个可以根据需求来抓取网络上传输的数据包的工具

 

常用的命令选项有：

-c：设定抓取的数量

-i：指定监听的网口

-w：将抓取的数据包保存到文件

-s：截取报文的内容，默认截取96字节，-s0表示截取全部

-r：读取数据包内容

-C 10：每10M保存一个包

-G 600：每10分钟保存一个包

 

过滤的参数规则：

host：指定主机名

net：指定网段

port：指定端口

portrange：指定端口范围

 

连接运算符

and：所有的条件都满足

or：只要满足一个条件

not：取反，也可以用！

 

例子：

1、抓取主机172.0.0.1的eth0网口的8080、8081端口传输的数据包并保存文件

tcpdump -i eth0 -s0  port 8080 or port 8081 host 172.0.0.1 -w 1.pcap

2、按 crtl+c 停止抓包，当前目录会生成一个1.pcap文件

3、简单查看数据包内容

tcpdump -r 1..pcap

 

注：一般对抓取的数据包用Wireshark工具进行分析