1、刚刚接触tcpdump时,常用tcpdump -i eth1 host 192.168.1.1 这个命令基于ip地址抓取数据包信息。
tcpdump -i eth1(接口名称) host 192.168.1.1(计算机IP地址)
2、在分析客户的网络中,经常会用到设备中自带的tcpdump软件,再配合PC端的wireshark软件来简单检查分析客户的网络情况。
这时候经常用到的tcpdump参数为:
tcpdump -i eth1 -nn(不做地址解析) -s0(抓取数据包长度不限制) -v(显示详细信息,需要显示更详细信息,可再加两个) -e (列出链路层头部) -c 20 (抓取指定个数的数据包,比如此处写20个,则为抓取20个包就停止)
如果不加 -n 参数的话,抓取的数据包会显示主机名或者域名信息,端口也会显示为相关的服务,如抓80端口,会显示为http
如果不加-s0参数的话,默认只抓取一部分(68字节),则数据包在wireshark中打开,会显示数据包不完整
3、在分析dhcp数据包的交互(IP地址下发),arp攻击等问题时,会涉及到链路层头部的抓取,也就是mac地址。抓取命令为
tcpdump -i eth1 ether src 6c:41:6a:ac:11:42 -c 10 // 在接口eth1上,抓取源mac地址为6c:41:6a:ac:01:42的数据包,个数为10
