1.选项
选项影响数据包信息的输出形式
-i:指定监听网络接口名称
-c:指定抓包个数
-w:将信息保存至文件
2.过滤条件
tcpdump根据过滤条件来捕捉满足条件的数据包
方向:src dst src or dst(默认)
地址标识:host(默认),port
协议:网络层或传输层的协议名
复合条件:and ,or,&&,||,!,(exper)
操作符:>,<,<=,>=,!=,=,&
值过滤:对数据包的某个字段进行检验
值过滤
proto[expr:size]
proto代表协议,expr代表起始位置,单位是字节,size代表提取长度,单位是字节。整个表达式代表一个字段的值。
值过滤中的可读变量
tcp-ack,tcp-syn,tcp-rst,tcp-fn
3.举例
捕捉192.168.10.80和192.168.100.81之间的通信包
tcpdump 192.168.100.80 and 192.168.100.81
括号的使用格式