TCPDUMP使用基础级

最基础的就是掌握基本的使用方式.

命令格式:tcpdump [-nn] [-i 接口] [-w 储存档名] [-c 次数] [-Ae][-qX]

参数说明

  • 接口控制 -D 打印出系统中所有可以用tcpdump截包的网络接口。 -i 指定监听的网络接口。
  • 协议输出控制 -A 以ASCII格式打印出所有分组,并将链路层的头最小化.查看http包内容非常有用. -e 在输出行打印出数据链路层的头部信息。 -S 将tcp的序列号以绝对值形式输出,而不是相对值。 -v 输出一个稍微详细的信息,例如在ip包中可以包括ttl和服务类型的信息。 -vv 输出详细的报文信息。
  • 时间控制 -t 不在每一行中输出时间戳。 -tt 在每一行中输出非格式化的时间戳。 -ttt 输出本行和前面一行之间的时间差。 -tttt 在每一行中输出由date处理的默认格式的时间戳。
  • 行为控制 -l 使标准输出变为缓冲行形式,可以把数据导出到文件。 -s 从每个分组中读取最开始的snaplen个字节,而不是默认的68个字节。 -n 不把网络地址转换成名字。 -nn 不进行端口名称的转换。
  • 抓包控制 -c 在收到指定的数量的分组后,tcpdump就会停止。 -r 从指定的文件中读取包(这些包一般通过-w选项产生)。 -w 直接将分组写入文件中,而不是不分析并打印出来。

中级

bpf

关键字类型 内容 备注
类型关键字 host,net,port default is host
方向关键字 src, dst, src or dst, src and dst default is src or dst
协议关键字 fddi, ip, arp, rarp, tcp, udp
逻辑关键字 not, and, or
其他关键字 gateway,broadcast,less,greater

高级

  • 查看各个协议的输出
  • bpf 协议标志位

results matching ""

    No results matching ""