1, tcpdump常用选项介绍
-n 禁止IP名称解析
-nn 禁止IP和端口名称解析
-i 指定捕获哪个网卡的网络数据包。
-w 指定将包写入哪个文件,如果文件不存在则创建该文件;如果存在则覆盖其内容
-f 指定过滤表达式,例如指定捕获哪个端口,哪个协议等
-r 指定从哪个文件读取网络数据包文件
-F 指定使用哪个文件的过滤表达式抓包
-D 列出所有可以使用tcpdump抓包的网卡
-c 指定捕获或者读取包的个数,-c后面直接接数字即可
-l 抓包时保存到文件的同时查看包的内容
-t 不打印时间戳
-tt 秒级时间戳
-ttt 打印时间戳到微秒或者纳秒,取决于 –time-stamp-precision option 选项
-s 指定每个包捕获的字节数
-S 打印绝对的tcp序列号,而不是相对的序列号
-v/-vv/-vvv 打印详细信息,v的个数越多, 打印内容越详细
上面是常用的选项, 更多的选项请参考tcpdump官方文档, 下面将对使用过滤条件抓包进行基本的介绍
2, tcpdump常用命令
#协议为tcp, 目标端口或源端口为80的包, 并将其写入packets.pcap文件中 tcpdump -nni ens33 -w packets.pcap 'tcp port 80' #协议为tcp, 目标端口为80 tcpdump -nni ens33 -w packets.pcap 'tcp dst port 80' -c10 #协议类型为tcp, 源端口为80 tcpdump -nni ens33 -w packets.pcap 'tcp src port 80' -c10 #读取文件中协议类型为tcp, 目标端口为80的包 tcpdump -nnr packets.pcap 'tcp dst port 80' -c10 #将packets.pcap文件中目标端口为443的包转存到dst_port_443.pcap中 tcpdump -r packets.pcap 'dst port 443' -w dst_port_443.pcap #指定IP地址为14.215.177.39 tcpdump -nni ens33 host 14.215.177.39 -c5 #源IP地址为192.168.248.134 tcpdump -nni ens33 src 192.168.248.134 -c5 #目标IP地址为192.168.248.134 tcpdump -nni ens33 dst 192.168.248.134 -c5 #通往网络192.168.248.0/24 tcpdump -nni ens33 net 192.168.248.0/24 -c5
本文来源:
tcpdump使用过滤条件抓包(基础篇)