tcpdump截帧工具使用

概述一、tcpdump介绍 ? tcpdump是Linux下功能强大的截帧工具，相当于windows下的wireshark一下，只是 *** 作方式是命令行的，需要熟悉Linux命令行 *** 作。 ? 常用的Linux发行版基本上都已经自带了tcpdump，如果没有可以tcpdump官网下载安装，官网只提供了源代码，下载后需要先编译。具体编译方式这里不做介绍。 二、tcpdump常用参数介绍 下面列出了tcpdum 一、tcpdump介绍

? tcpdump是linux下功能强大的截帧工具，相当于windows下的wireshark一下，只是 *** 作方式是命令行的，需要熟悉linux命令行 *** 作。

? 常用的linux发行版基本上都已经自带了tcpdump，如果没有可以tcpdump官网下载安装，官网只提供了源代码，下载后需要先编译。具体编译方式这里不做介绍。

二、tcpdump常用参数介绍

下面列出了tcpdump的常用参数：

-a 将网络地址和广播地址转换成名字 -A 以ASCⅡ 格式显示截取到的数据帧 -c num 截取到num条数据后就停止 -C file-size 用于配合-w file，如果文件大小超过，file-size 则新创建一个文件 -D 列出系统中所有可以用以 tcpdump 截包的网络接口。显示的接口序号或接口名称可以通过 - i 指定 -q 快速输出，只显示较少信息 -w 将输出结果保存到文件中，可以在windows下使用wireshark分析 -r 从指定文件读取数据包，一般用来读取使用 -w 参数保存文件 -i 指定抓取哪个网卡的数据包，如需要抓取所有网卡使用 -i any -x 以十六进制显示截取到的数据帧 -nnn参数。使用-nnn参数禁用tcpdump展示时把IP、端口等转换为域名、端口对应的知名服务名称。 三、tcpdump表达式

tcpdump表达式用来设置哪些数据包被打印到命令行，如果不设置过滤表达式网络上所有被捕获的包都会被打印,否则,只有满足条件表达式的数据包被打印。

在表达式中一般有如下几种类型的关键字

关于类型的关键字，host、net、port、ip >proto、protochain 等

确定传输方向的关键字，主要包括src,dst,dst or src,dst and src 等

协议的关键字，ip、arp、rarp、tcp、udp>、icmp、http 等

表达式的基本格式为协议+[传输方向]+类型+ 具体数值，具体使用请看实例。

ip src host 192.168.0.1tcp port 1883

四、实例

抓取所有网卡的数据包

tcpdump -i any

抓取端口1883的数据包

tcp dump -i eth0 port 1883        # 1883 端口的所有数据包 tcp dump -i eth0  tcp port 1883   # 1883 端口的所有tcp数据包 tcp dump -i eth0  udp port 1883   # 1883 端口的所有udp数据包

抓取源 ip 是 172.30.20.10 的数据包

tcpdump -i eth0 src host 172.30.20.10

抓取目的地址是172.30.20.10的数据包

tcpdump -i eth0 dst host 172.30.20.10

抓取源 ip 是172.30.20.10 且目的端口是 22 的数据包

tcpdump -i eth0  src host172.30.20.10 and dst port 22

抓取源 ip 是172.30.20.10 且目的端口是 22 的数据包

tcpdump -i eth0 -vnn src host 172.30.20.10 or port 22

抓取源 ip 是172.30.20.10 且目的端口不是 22 的数据包

tcpdump -i eth0 -vnn src host 172.30.20.10  and not port 22

抓取网卡eth0的数据包并保存到文件

tcpdump -i eth0  -w data.cap

抓取网卡eth0的 100 条数据并保存到文件

tcpdump -i eth0 -c 100 -w data.cap

抓取ip协议的数据包

tcpdump -i eth0 ip

总结

以上是内存溢出为你收集整理的tcpdump截帧工具使用全部内容，希望文章能够帮你解决tcpdump截帧工具使用所遇到的程序开发问题。

如果觉得内存溢出网站内容还不错，欢迎将内存溢出网站推荐给程序员好友。