参数笔记
-n
一个n
表示不反向解析地址,两个n
表示不反向解析端口。
-S
表示查看绝对序号,如客户端中的ack
为1,这是相对的,要查看绝对序号需要加上该参数。
-v
表示查看详细的报文数据。
-r
该参数接收一个pcap文件的路径,不抓取数据包,而是去读取指定的pcap文件,并格式化输出。
-i
指定抓取的网卡,any
表示监听全部。
-e
每行的打印输出中将包括数据包的数据链路层头部信息,我经常用它来看truck口的vlan id。
详情请参考: http://linux.51yip.com/search/tcpdump
语法编写
所有经过目的或原地址是192.168.1.1的数据包
1
| $ tcpdump host 192.168.1.1
|
源端口或者是目的端口为80的数据包
所有目的地址为192.168.1.1的数据包
1
| $ tcpdump dst host 192.168.1.1
|
相同的,所有目的端口为80的数据包为dst port
所有的源地址为192.168.1.1的数据包
1
| $ tcpdump src host 192.168.1.1
|
相同的,所有源端口为80的数据包为src port
协议过滤
1 2 3 4 5
| tcpdump arp tcpdump ip tcpdump tcp tcpdump udp tcpdump icmp
|