tcpdump常用配置指导
参考:http://www.cnblogs.com/ggjucheng/archive/2012/01/14/2322659.html
1. 指定端口抓包 -i
说明:
普通情况下,直接启动tcpdump将监视第一个网络接口上所有流过的数据包。
2. 只抓10个包
tcpdump -i ens33 -c 10
举例:
3. 显示报文的以太头 -e
下面是抓取和www.baidu.com之间通信的4个报文,每个报文显示以太头。
显示报文的完整内容,-xx
tcpdump -i ens33 -xx -vvv host www.baidu.com
4. 只抓与某个主机交互的包 host 选项
tcpdump -i ens33 host www.baidu.com
举例
5. 只抓tcp报文,udp报文,http报文,https报文
tcpdump -i ens33 tcp -c 4
举例:只抓取4个tcp报文
tcpdump -i ens33 udp
举例,下例子中,只有www.baidu.com的dns解析会被抓到,ping包的icmp不会抓到。
抓icmp报文,如下:
抓http报文,如下,举例见下面的内容:
tcpdump -i ens33 tcp port 80
抓https报文,如下:
tcpdump -i ens33 tcp port 443
6. 只抓指定tcp端口号,udp端口号的报文
tcpdump -i ens33 tcp port 80
举例:
tcpdump -i ens33 udp port 53
7. 显示主机A和主机B之间的报文
tcpdump -i ens33 host www.baidu.com and 192.168.248.156
举例:下例子中,ping 163时,tcpdump不会抓到包,但是ping baidu时,会抓到包。
8. 将抓包结果实时保存到文件中 -w
tcpdump -i ens33 tcp port 443 -w ./https.cap
再使用 xftp 将文件导出到windows后,再使用wireshark进行查看。
9. 显示报文更详细的内容:
tcpdump -i ens33 -vvv host www.baidu.com
