其他参考:tcpdump的基本用法
1. 抓取指定网卡上的数据
tcpdump默认抓系统第一块网卡,-i参数可以指定网卡,any表示抓所有网卡:
|
1 2 |
tcpdump -i eth0 # 抓取eth0上的数据 tcpdump -i any # 抓取所有网卡上的数据 |
2. 抓取指定IP的数据
抓取来自eth0网卡上IP为192.168.10.1的数据:
|
1 |
tcpdump -i eth0 host 192.168.10.1 |
3. 抓取指定端口的数据
抓取HTTPS(443端口)的数据:
|
1 |
tcpdump -i eth0 tcp port 443 |
4. 抓取一个网段的数据
抓取192.168.10.0/24网段的数据:
|
1 |
tcpdump -i eth0 net 192.168.10.0/24 |
5. 多条件组合
tcpdump可以使用and/or/not来进行多条件组合抓包,当开启组合抓包时,建议使用双引号将语句包起来(否则当条件语句中存在括号等字符时会报错):
|
1 |
tcpdump -i eth0 "host 192.168.10.1 and (tcp port 443 or tcp port 80)" |
抓取来自192.168.10.1的443端口或80端口的数据。
6. 其他选项
-n:打印IP地址而不是主机名-v:显示抓到的包的数量-w file:将抓到的包写入文件-c n:只抓取n个包,抓满后程序自动退出
评论