网络抓包工具 tcpdump 的用法

网络抓包工具 tcpdump 的用法

用简单的话来定义tcpdump，就是：dump the traffic on a network，根据使用者的定义对网络上的数据包进行截获的包分析工具。 tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤，并提供and、or、not等逻辑语句来帮助你去掉无用的信息。

tcpdump提供了很多的命令选项，在这里我只简单介绍几个：

-A：将每个数据包以美国信息互换标准代码ASCII的格式打印出来。

-c N：如果这个N是一个数字，这个选项表示tcpdump将在N个数据包后退出。

-i interface：捕获指定网络端口的数据包。

-n：不将地址进行解析。

-q：提供较少的（“安静”）输出，这样的输出路线会比较短。

-r filename <文件名>：从指定的文件而不是网络端口读取数据包。它经常用在数据已经被记录到文件中的情况，需要和-w的选项共同使用。

-t：在输出每一行的时间不打印时间戳。

-v：提供更详细的输出。V可以增加，象-VV、甚至-VVV。

-w filename <文件名>：将数据包写到指定的文件中。

【用例】

1. 如果不带任何参数直接启动tcpdump，一般将监视第一个网络接口上所有流过的数据包。如下：

# tcpdump

2. 监视指定网络接口的数据包

# tcpdump -i eth1

3. 监视指定IP（或者说指定主机）的数据包

例如截获所有210.27.48.1主机收到的和发出的所有的数据包：

# tcpdump host 210.27.48.1

4. 抓取端口号为6025的TCP报文内容并写入 a.cap 文件里。

$ tcpdump tcp -A port 6025 -w a.cap

创建的a.cap是二进制文件，可以用专门的工具阅读，更简单的方法用VIM阅读，用VIM打开文件后，执行":%!xxd"命令阅读，详细参阅博文“用VIM阅读二进制文件”。