码迷,mamicode.com
首页 > 其他好文 > 详细

tcpdump的用法

时间:2019-09-23 12:07:34      阅读:101      评论:0      收藏:0      [点我收藏+]

标签:保存   进程   eth0   结果   dash   逻辑语句   com   icm   端口号   

TCPDump可以将网络中传送的数据包完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。

 

tcpdump -b arp or arap将只显示网络中的arp即地址转换协议信息;tcpdump -i eth0 只显示通过eth0接口上的所有报头;

tcpdump src host 192.168.0.1 and dst net 192.168.0.0/24

–––过滤的是源主机为192.168.0.1与目的网络为192.168.0.0的报头;

tcpdump ether src 00:50:04:BA:9B and dst……过滤源主机物理地址为XXX的报头;

Tcpdump src host 192.168.0.1 and dst port not telnet

–––过滤源主机192.168.0.1和目的端口不是telnet的包;

tcpdump -i eth2 –w mstu2ether2.cap –s 0

–––指定保存抓包结果的文件,"-s 0"指定是抓的完整包;

tcpdump port 9020–––抓取端口号9020上的数据

–n   不解析IP地址;

 

备注1:

在抓包命令最后面再加一个&,这样可以后台一直抓。这样的话,登录窗口可以关掉。你想停止抓包,则得用PS把进程杀死。

 

备注2:

ip icmp arp rarp 和 tcp、udp、icmp这些选项等都要放到第一个参数的位置,用来过滤数据报的类型。
例如:
tcpdump ip src……
只过滤数据-链路层上的IP报头。
tcpdump udp and src host 192.168.0.1
只过滤源主机192.168.0.1的所有udp报头。

 

tcpdump的用法

标签:保存   进程   eth0   结果   dash   逻辑语句   com   icm   端口号   

原文地址:https://www.cnblogs.com/michellfan/p/11571214.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!