标签:保存 进程 eth0 结果 dash 逻辑语句 com icm 端口号
TCPDump可以将网络中传送的数据包完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。
tcpdump -b arp or arap将只显示网络中的arp即地址转换协议信息;tcpdump -i eth0 只显示通过eth0接口上的所有报头;
tcpdump src host 192.168.0.1 and dst net 192.168.0.0/24
–––过滤的是源主机为192.168.0.1与目的网络为192.168.0.0的报头;
tcpdump ether src 00:50:04:BA:9B and dst……过滤源主机物理地址为XXX的报头;
Tcpdump src host 192.168.0.1 and dst port not telnet
–––过滤源主机192.168.0.1和目的端口不是telnet的包;
tcpdump -i eth2 –w mstu2ether2.cap –s 0
–––指定保存抓包结果的文件,"-s 0"指定是抓的完整包;
tcpdump port 9020–––抓取端口号9020上的数据
–n 不解析IP地址;
备注1:
在抓包命令最后面再加一个&,这样可以后台一直抓。这样的话,登录窗口可以关掉。你想停止抓包,则得用PS把进程杀死。
备注2:
ip icmp arp rarp 和 tcp、udp、icmp这些选项等都要放到第一个参数的位置,用来过滤数据报的类型。
例如:
tcpdump ip src……
只过滤数据-链路层上的IP报头。
tcpdump udp and src host 192.168.0.1
只过滤源主机192.168.0.1的所有udp报头。
标签:保存 进程 eth0 结果 dash 逻辑语句 com icm 端口号
原文地址:https://www.cnblogs.com/michellfan/p/11571214.html