tcp使用手册
格式:
tcpdump [选项] [过滤条件]
选项:
-i eth0 #网卡接口
-A #以ASCII码格式阅读
-w file #下载抓取的数据包
-r file #上传数据包
-n #表示不解释域名 -nn #表示不解析域名和端口
-s数字 #截获报文数字. -s0表示截获所有报文
-v,vv,vvv #显示更多信息
-p #不让网络接口进入混杂模式
-e #显示数据链路层信息
过滤条件:
1. host/net 192.168.0.2
1.1 方向修饰:src/dst
1.2 net 192.168.1.1(四元组)/192.168.1(三元组)/192.168(二元组)/192(一元组)/192.168.0.0/12(CIDR模式)
2. port/portrange 21/21-22
2.1 协议修饰:tcp/udp/ip/wlan/arp...,前面省略了proto,有时这些保留字需要加转译
3.抓取HTTP有效数据包
tcpdump 'tcp port 8080 and (((ip[2:2] - ((ip[0]&0xf)<<2))-((tcp[12]&0xf0)>>2)) != 0)'
4.将tcpdump数据重定向到wireshark