Tcpdump简单使用

tcpdump简单使用，存储格式以pcap，便于分析

简单的抓包使用

tcpdump -i eth0 -s 0 -vv -w /root/test.pcap

参数解释：

-i eth0     指定端口
-s 0        默认抓取68字节，这个参数可以抓取完整的数据包
-vv         显示完整的抓包信息
-w          以pcap格式存储

抓取主机流量

tcpdump -i eth0 -s 0 -vv -w /root/test.pcap host 127.0.0.1

指定端口流量

tcpdump -i eth0 -s 0 -vv -w /root/test.pcap port 8080

指定主机和其端口

tcpdump -i eth0 -s 0 –vv -w /root/test.pcap port 8080 and host 127.0.0.1

抓取指定几台主机之间流量(1和2、3之间的流量)

tcpdump host 127.0.0.1 and 127.0.0.2 or 127.0.0.3

抓取指定外的主机流量

tcpdump host 127.0.0.1 and !127.0.0.2

抓取源主机或者目的主机的所有流量

tcpdump -i eth0 src host 127.0.0.1
tcpdump -i eth0 dst host 127.0.0.2

抓取某一网段流量

tcpdump -i eth0 net 192.168
tcpdump -i etho net 192.168.1
tcpdump -i etho net 192.168.1.0/24
tcpdump -i etho src net 192.168
tcpdump -i etho dst net 192.168

抓SYN包

tcpdump -i eth0 'tcp[tcpflags]=tcp=syn'

抓SMTP数据（MAIL）

tcpdump -i eth0 '((port 25) and (tcp[(tcp[12]>>2):4]=0x4d41494c))'

抓HTTP GET数据

tcpdump -i eth0 'tcp[(tcp[12]>>2):4]=0x47455420'