tcpdump使用方法
一、centos上可以采用下面的命令进行安装。
yum install tcpdump
二、实例:
1、监视指定网络接口的数据包
即监听指定网卡的数据包,若不指定网卡,默认tcpdump只会监视第一个网络接口。如监听 eth0网卡,如下:
tcpdump -i eth0
2、监视指定主机或ip的数据包
格式:tcpdump host hostOrIp
如监听 www.findme.wang 的数据包:tcpdump host www.findme.wang
这会把和 www.findme.wang 之间来往的所有数据包都抓取到,包含出和入的包。
3、监视指定来源的数据包
格式:cpdump src host hostOrIp
下面命令,会抓取来自“www.findme.wang”的所有数据包。
tcpdump src host www.findme.wang
4、监视指定目的地的数据包
格式:tcpdump dst host hostOrIp
下面命令,会抓取发给“www.findme.wang”的所有数据包。
tcpdump dst host www.findme.wang
5、监视指定端口号的数据包
格式:tcpdump port 8080
6、监视指定传输层协议的数据包
监听tcp数据包:tcpdump tcp
监听udp数据包如下:tcpdump udp
7、使用多条件进行过滤
tcpdump支持使用and、or、not来过滤抓取的数据包。比如,监听来自于www.findme.wang的80端口数据包,如下:
tcpdump src host www.findme.wang and port 80
8、设置抓取的数据包个数
tcpdump -c 3 抓取3个数据包就退出。
9、监听访问wikipad网站的443端口,-w filename 监听内容写入文件
使用命令:tcpdump host www.wikipedia.org and port 443
带写入文件时:tcpdump host www.wikipedia.org and port 443 -w wike.cap
10、监听与192.168.0.1的udp协议通信情况
命令:tcpdump host 192.168.0.1 and udp
带写入文件:tcpdump host 192.168.0.1 and udp -w 1udp.cap
11、监视指定网络接口和端口UDP数据包
即监听指定网卡的数据包,若不指定网卡,默认tcpdump只会监视第一个网络接口。命令:命令:tcpdump -i eth0 udp and port 8000
带写入文件:tcpdump -i eth0 udp and port 8000 -w udp.cap
注:upd.cap文件可以使用wireshark(windows版)打开进行详细的数据分析。