详细参数参考,我记得之前有个ppt关于这个写的不错.
说实话,这玩意用的时候直接gg了.
常用应用: 过滤物理口 过滤某个port/ip/mac 过滤协议 显示ip/mac/port不解析等
一 tcpdump常用重要参数
-i 指定监听的网络接口; -e 在输出行打印出数据链路层的头部信息; -c 截取指定数目的数据包; -n 不把网络地址转换成名字; -nn 不把端口和网络地址转换成名称; -x 将截取的数据包内容以十六进制打印出来; -X 将截取的数据包内容以ASCII文本形式打印出来; -s 截取指定大小的数据包,s0表示完整数据包; -w 将抓包内容保存到指定到文件,并不打印出来; -a 将网络地址和广播地址转变成名字; -t 在输出的每一行不打印时间戳; -v 输出一个稍微详细的信息,如在ip包中包括ttl和服务类型的信息; -vv 输出详细的报文信息; -F 从指定的文件中读取表达式,忽略其它的表达式; -r 从指定的文件中读取包(这些包一般通过-w选项产生);
二 实际应用
注:以下可以把tcpdump_dp改为tcpdump(_dp是私有的命令)
1,抓mac地址为xxx的包:
tcpdump_dp -i eth5 ether host 24:DF:6A:F4:59:14 –nne -e显示mac地址
2,抓源mac为xxx的包,10个
tcpdump_dp -i eth5 udp and ether src 24:DF:6A:F4:59:14 –c 10
-X也是个好参数,内容以assic码打印.可以看到明文内容 -n 不解析ip -nn 不解析ip和端口 -v 显示稍微详细,ip包的ttl和tos信息 -vv 显示报文详细内容
