其他参考:tcpdump 的基本用法
1. 抓取指定网卡上的数据
tcpdump 默认抓系统第一块网卡,-i 参数可以指定网卡,any 表示抓所有网卡:
|
1 2 |
tcpdump -i eth0 # 抓取 eth0 上的数据 tcpdump -i any # 抓取所有网卡上的数据 |
2. 抓取指定 IP 的数据
抓取来自 eth0 网卡上 IP 为 192.168.10.1 的数据:
|
1 |
tcpdump -i eth0 host 192.168.10.1 |
3. 抓取指定端口的数据
抓取 HTTPS(443 端口) 的数据:
|
1 |
tcpdump -i eth0 tcp port 443 |
4. 抓取一个网段的数据
抓取 192.168.10.0/24 网段的数据:
|
1 |
tcpdump -i eth0 net 192.168.10.0/24 |
5. 多条件组合
tcpdump 可以使用 and/or/not 来进行多条件组合抓包,当开启组合抓包时,建议使用双引号将语句包起来 (否则当条件语句中存在括号等字符时会报错):
|
1 |
tcpdump -i eth0 "host 192.168.10.1 and (tcp port 443 or tcp port 80)" |
抓取来自 192.168.10.1 的 443 端口或 80 端口的数据。
6. 其他选项
-n:打印 IP 地址而不是主机名-v:显示抓到的包的数量-w file:将抓到的包写入文件-c n:只抓取 n 个包,抓满后程序自动退出