tcpdump命令 – 监听网络流量

tcpdump命令 – 监听网络流量

tcpdump命令是一款sniffer工具，是linux上的抓包工具，嗅探器；它可以打印出所有经过网络接口的数据包的头信息。

tcpdump命令工作时先要把网卡的工作模式切换到混杂模式。所以tcpdump命令需要以root身份运行。tcpdump命令是linux下使用最广泛的网络协议分析工具。使用tcpdump命令时，必须精通TCP/IP协议工作原理。

语法格式: tcpdump [参数]

常用参数：

-a尝试将网络和广播地址转换成名称-c<数据包数目>收到指定的数据包数目后，就停止进行倾倒 *** 作-d把编译过的数据包编码转换成可阅读的格式，并倾倒到标准输出-dd把编译过的数据包编码转换成C语言的格式，并倾倒到标准输出-ddd把编译过的数据包编码转换成十进制数字的格式，并倾倒到标准输出-e在每列倾倒资料上显示连接层级的文件头-f用数字显示网际网络地址-F<表达文件>指定内含表达方式的文件-i<网络界面>使用指定的网络截面送出数据包-l使用标准输出列的缓冲区-n不把主机的网络地址转换成名字-N不列出域名-O不将数据包编码最佳化-p不让网络界面进入混杂模式-q快速输出，仅列出少数的传输协议信息-r<数据包文件>从指定的文件读取数据包数据-s<数据包大小>设置每个数据包的大小-S用绝对而非相对数值列出TCP关联数-t在每列倾倒资料上不显示时间戳记-tt在每列倾倒资料上显示未经格式化的时间戳记-T<数据包类型>强制将表达方式所指定的数据包转译成设置的数据包类型-v详细显示指令执行过程-vv更详细显示指令执行过程-x用十六进制字码列出数据包资料-w<数据包文件>把数据包数据写入指定的文件

参考实例

监视指定网络接口的数据包：

[root@linuxcool ~]# tcpdump -i eth1

监视指定主机的数据包：

[root@linuxcool ~]# tcpdump host linuxcool

截获主机192.168.10.10 和主机192.168.10.20 或192.168.10.30的通信:

[root@linuxcool ~]# tcpdump host 192.168.10.10 and  (192.168.10.20 or 192.168.10.30 )

抓取80端口的HTTP报文，以文本形式展示：

[root@linuxcool ~]# tcpdump -i any port 80 -A