使用tcpdump抓包

date: 2016.02.15; modification:2016.02.15

目录:

1 常用选项

抓取指定接口的包并保存:

tcpdump -i eth0 -s0 -w ./test.pcap

参数:

抓取回环网口的包:

tcpdump -i lo

2 常用过滤

2.1 主机过滤

打印所有进入或离开192.168.1.123的数据包:

tcpdump host 192.168.1.123

打印helios 与 hot 或者与 ace 之间通信的数据包:

tcpdump host helios and \( hot or ace \)

打印ace与任何其他主机之间通信的IP 数据包, 但不包括与helios之间的数据包:

tcpdump ip host ace and not helios

截获主机hostname发送的所有数据:

tcpdump -i eth0 src host hostname

2.2 监视指定主机和端口的数据包

如果想要获取主机210.27.48.1接收或发出的telnet包, 使用如下命令:

tcpdump tcp port 23 and host 210.27.48.1

对本机的udp 123 端口进行监视 123 为ntp的服务端口:

tcpdump udp port 123 

3 参考:

Linux tcpdump命令详解