还用tcpdump一般使用的命令如下:
tcpdump -i any -n host X.X.X.X and port X -w test.cap
表明监听任何网络接口,抓取ip和端口为X.X.X.X:X主机上的包,并将结果写到test.cap上。
然后用wireshark软件打开test.cap,右键Follow TCP Stream,就可以看到关于包的信息。
附:
tcpdump选项
选项 含义
-A 以ASCII格式打印出所有分组,并将链路层的头最小化
-d 将匹配信息包的代码以人们能够理解的汇编格式给出
-D 打印出系统中所有可以用tcpdump截包的网络接口
-ddd 将匹配信息包的代码以十进制的形式输出
-e 在输出行打印出数据链路层的头部信息
-f 将外部的Internet地址以数字的形式打印出来
-l 使标准输出变为缓冲行形式
-L 列出网络接口的已知数据链路
-n 不把网络地址转换成名字
-N 不输出主机名中的域名部分,如“kongove.ubuntu.cn”只输出“kongove”
-O 不运行分组分组匹配(packet-matching)代码优化程序
-p 不将网络接口设置成混杂模式
-q 快速输出,只输出较少的协议信息
-S 将tcp的序列号以绝对值形式输出,而不是相对值
-t 在输出的每一行不打印时间戳
-u 输出未解码的NFS句柄
-v 输出一个稍微详细的信息,例如在ip包中可以包括ttl和服务类型的信息
-vv 输出详细的报文信息
-c count 指定监听数据包数量,当收到指定的包的数目后,tcpdump就会停止
-C file_size 限定数据包写入文件大小
-F file 从指定的文件中读取表达式,忽略其它的表达式
-i interface 指定监听网络接口
-m module 打开指定的SMI MIB组件
-M secret 如果tcp报文中存在TCP-MD5选项,则需要用secret作为共享的验证码用于验证TCP-MD5选选项摘要(详见RFC 2385)
-r file 从指定的文件中读取包(这些包一般通过-w选项产生)
-s snaplen 从每个分组中读取最开始的snaplen个字节,而不是默认的68个字节
-T type 将截取的数据包直接解释为指定类型的报文,常见类型有rpc(远程过程调用)和snmp(简单网络管理协议),还包括aodv、cnfp、rpc、rtp、rtcp、snmp、tftp、vat、wb等
-w file 指定将监听到的数据包写入文件,不分析和打印数据包
-W filecount 限定能写入文件数据包的数量
-E spi@ipaddr algo:secret,... 用spi@ipaddr algo:secret解密那些以addr作为地址,并且包含了安全参数索引值spi的IPsec ESP分组
expression 综合表达式