一. 使用方法
1. 指定类型
host:指定主机
tcpdump host 192.168.100.1
tcpdump host 192.168.100.1 and !192.168.100.2
tcpdump host 192.168.100.1 and (192.168.100.2 or 192.168.100.3)
net:指定网络地址
tcpdump net 192.168.100.0/24
port:指定端口
tcpdump port 80
2. 指定方向
src:源地址
tcpdump src 192.168.100.1
tcpdump src 192.168.100.1 port 22 -i eth0
dst:目标地址
tcpdump dst 192.168.100.1
3. 参数类型
-i:指定接口
tcpdump -i eth0
4. 指定协议
tcp:指定tcp协议
arp:指定ARP协议
udp:指定udp协议
4. 条件组合
tcpdump -i eth0 host 192.168.100.1
二. 输出分析
20:34:28.943272 IP 192.168.100.160.ssh > 192.168.100.1.52214: Flags [P.], seq 100384:100464, ack 241, win 251, length 80
第一列:时分秒毫秒
第二列:网络协议
第三列:发送方的ip地址+端口号(或者协议)
第四列:>
第五列:接收方的ip地址+端口号(或者协议)
第六列:冒号
第七列:Flag标识符:
[S]:建立连接的标识SYN
[P]:发送数据的标识
[F]:结束连接的标识FIN
[.]:没有标识