tcpdump的使用
2016-07-22 17:56
225 查看
tcpdump命令的控制分4个部分
-p 非混杂模式
-s 限制报文长度,0 为不限制
-w 保存抓取的报文到指定路径
-r 从pcap报文读取报文
-n 网络地址显示为IP点分格式地址
-N 不要域名转换
-f 不要远端名称解析
-vv 显示详细信息
-q 显示更少信息
-x 报文以十六进制显示
net 192.168.1.2.0 mask 255.255.255.0
tcp[0:2] == 1234
tcpdump greater 256 捕获报文长度大于256字节的报文
tcpdump -i eth* -s 0 -C 1024 -W 100 -w /home/loop_cap.pcap -Z root 每个pcap报文1G大小,循环在eth*上抓100个这样的报文
控制tcpdump行为
-c 控制抓取报文的个数-p 非混杂模式
-s 限制报文长度,0 为不限制
-w 保存抓取的报文到指定路径
-r 从pcap报文读取报文
控制输出信息如何显示
-a 网络地址显示为名称-n 网络地址显示为IP点分格式地址
-N 不要域名转换
-f 不要远端名称解析
显示哪些数据
-v 打印ttl-vv 显示详细信息
-q 显示更少信息
-x 报文以十六进制显示
过滤条件
命令行上的条件以 and / or 来组合,也可以 -F 来指定 条件文件来过滤地址
host 1.2.3.4 / dst(src) 1.2.3.4net 192.168.1.2.0 mask 255.255.255.0
ip协议
ip proto proto可以是关键字或数字,定义在/etc/protocols , 如 ip ospf 等于 ip 89端口、3层以上协议
port 关键字/数字 定义在 /etc/services ,如 port 53 等于 port domain报文特征字段
ether[0]&1 !=0tcp[0:2] == 1234
报文长度
greater / lesstcpdump greater 256 捕获报文长度大于256字节的报文
一些应用
循环抓包tcpdump -i eth* -s 0 -C 1024 -W 100 -w /home/loop_cap.pcap -Z root 每个pcap报文1G大小,循环在eth*上抓100个这样的报文
相关文章推荐
- Java 网络基础
- 网络图片下载
- OKHTTP网络请求——上传下载
- TCP网络编程
- 神经网络:表示
- UDP网络编程
- Network——Socket网络通信机制以及实现举例(TCP、UDP等)
- Java实现——Socket网络通信的机制以及实现举例
- Node.js HTTP模块与事件模块
- AngularJS中$http服务的简单用法
- 直播推流端网络优化策略
- 【Android进阶】ListView使用“内存双缓存+硬盘缓存”加载网络图片
- tcp协议实现C/S通信(代码)
- iis https 客户端证书
- http://www.cnblogs.com/EricaMIN1987_IT/p/3837436.html
- webservice接口实现数据共享的实现的初步解决方案(更新、删除)
- http://www.hulian.top/zixun/post/4771.html
- 如何加强神经网络训练
- IP地址的分类——a,b,c 类是如何划分的
- iOS网络HTTP、TCP、UDP、Socket 知识总结