参数笔记
-n 一个n表示不反向解析地址,两个n表示不反向解析端口。-S 表示查看绝对序号,如客户端中的ack为1,这是相对的,要查看绝对序号需要加上该参数。-v 表示查看详细的报文数据。-r 该参数接收一个pcap文件的路径,不抓取数据包,而是去读取指定的pcap文件,并格式化输出。-i 指定抓取的网卡,any表示监听全部。-e 每行的打印输出中将包括数据包的数据链路层头部信息,我经常用它来看truck口的vlan id。
详情请参考: http://linux.51yip.com/search/tcpdump
语法编写
所有经过目的或原地址是192.168.1.1的数据包
1
| $ tcpdump host 192.168.1.1
|
源端口或者是目的端口为80的数据包
所有目的地址为192.168.1.1的数据包
1
| $ tcpdump dst host 192.168.1.1
|
相同的,所有目的端口为80的数据包为dst port
所有的源地址为192.168.1.1的数据包
1
| $ tcpdump src host 192.168.1.1
|
相同的,所有源端口为80的数据包为src port
协议过滤
1
2
3
4
5
| tcpdump arp
tcpdump ip
tcpdump tcp
tcpdump udp
tcpdump icmp
|
