linux命令之tcpdump

【tcpdump】
1 抓指定的包
2 和wireshark功能一样
3 流量回放

【语法】
确保有tcpdump命令 来自包 tcpdump
tcpdump 选项 过滤条件

【常用选项】
-i 指定抓指定的网卡
-nn 不反解析 如 53号端开口翻译成为dns等，可以加快速度
-vv 能够打印出更多的详细信息
-c 指定抓取的数目，一旦到了数目，就会停止抓包
-e 将以太网头部信息打印出来，如mac地址

【深入选项】

-l 指定缓冲模式为行模式，
选项的作用就是将tcpdump的输出变为“行缓冲”方式，这样可以确保tcpdump遇到的内容一旦是换行符即将缓冲的内容输出到标准输出，以便于利用管道或重定向方式来进行后续处理。
众所周知，Linux/UNIX的标准I/O提供了全缓冲、行缓冲和无缓冲三种缓冲方式。标准错误是不带缓冲的，终端设备常为行缓冲，而其他情况默认都是全缓冲的。

-F 指定过滤表达式所在的文件(将过滤表示写入一个文件了)。 通常用不到，过滤表示一般还是直接写在命令行中
-w 将流量保存到文件中，但是是flowdata文件，二进制的不能直接打开看
-r 以flowdata形式读取flowdata文件，和mysqlbinlog命令工作方式类似

[常用过滤条件]

指定端口和主机
tcpdump -nn -i eth0 port 80 and host 192.168.100.13

抓取icmp协议 ping包

cpdump -nn -vv -i eth0 icmp

抓取指定网段的某端口连接

tcpdump -nn -i eth0 net 192.168.100 and port 22
或
tcpdump -nn -i eth0 net 192.168.100 and tcp port 22

本文出自 “崔德华运维打工从业路” 博客，请务必保留此出处http://cuidehua.blog.51cto.com/5449828/1786294