语法:
tcpdump <选项> [条件表达式]
选项:
-i eth0 # 指定网卡
-c <count> # 捕获指定数量的数据包后停止
-nn # 禁止将IP地址、协议、端口号等进行名称解析
-D # 列出本计算机中所有可用于tcpdump捕获的网络接口
-e # 打印数据链路层的报文头
-r /tmp/01.raw # 读取原始流量包
-w <filename> # 将流量转储到文件中
-X # 以16进制加ASCII码的形式显示流量内容
条件表达式:
icmp # 捕获 ICMP 流量
udp # 捕获 UDP 流量
tcp # 捕获 TCP 流量
port 21 # 捕获21端口的流量
src port 21 # 捕获源端口是21端口的流量
dst port 443 # 捕获目的端口是443端口的流量
src host 192.168.4.150 # 捕获源IP是192.168.4.150的流量
dst host 192.168.3.75 # 捕获目的IP是192.168.3.75的流量
举例:
1. tcpdump -nn -X 2. 捕获eth0网卡并且目的端口为80的TCP流量,将流量保存到tcp_80_bin.log文件中 tcpdump -i eth0 -nn -vv -w /root/tcp_80_bin.log 'tcp and (dst port 80)' 3. 捕获eth0网卡并且目的端口为53的UDP流量 tcpdump -i eth0 -nn -vv -X 'udp and (dst port 53)'
4. tcpdump -i eth0 -nn -w /root/tcpdump/01.raw '(src host 192.168.8.202) or (dst host 192.168.8.202)'