TCPDUMP使用基础级
最基础的就是掌握基本的使用方式.
命令格式:tcpdump [-nn] [-i 接口] [-w 储存档名] [-c 次数] [-Ae][-qX]
参数说明
- 接口控制 -D 打印出系统中所有可以用tcpdump截包的网络接口。 -i 指定监听的网络接口。
- 协议输出控制 -A 以ASCII格式打印出所有分组,并将链路层的头最小化.查看http包内容非常有用. -e 在输出行打印出数据链路层的头部信息。 -S 将tcp的序列号以绝对值形式输出,而不是相对值。 -v 输出一个稍微详细的信息,例如在ip包中可以包括ttl和服务类型的信息。 -vv 输出详细的报文信息。
- 时间控制 -t 不在每一行中输出时间戳。 -tt 在每一行中输出非格式化的时间戳。 -ttt 输出本行和前面一行之间的时间差。 -tttt 在每一行中输出由date处理的默认格式的时间戳。
- 行为控制 -l 使标准输出变为缓冲行形式,可以把数据导出到文件。 -s 从每个分组中读取最开始的snaplen个字节,而不是默认的68个字节。 -n 不把网络地址转换成名字。 -nn 不进行端口名称的转换。
- 抓包控制 -c 在收到指定的数量的分组后,tcpdump就会停止。 -r 从指定的文件中读取包(这些包一般通过-w选项产生)。 -w 直接将分组写入文件中,而不是不分析并打印出来。
中级
bpf
关键字类型 | 内容 | 备注 |
---|---|---|
类型关键字 | host,net,port | default is host |
方向关键字 | src, dst, src or dst, src and dst | default is src or dst |
协议关键字 | fddi, ip, arp, rarp, tcp, udp | |
逻辑关键字 | not, and, or | |
其他关键字 | gateway,broadcast,less,greater |
高级
- 查看各个协议的输出
- bpf 协议标志位