tcpdump [options] [Protocol] [Direction] [Host(s)] [Value] [Logical Operations] [Other expression]

Protocol(协议):
常用的有ether,  ip, arp, tcp and udp。另外不常用的: fddi,rarp,decnet,lat, sca, moprc, mopdl,
不指定则默认所有

Direction:
 src,      dst,      src and dst,     src or dst
默认是src or dst

Host(s)
net, port, host, portrange.
默认host。

Logical Operations:
and or not 或&& || !

表达式用引号括起来可以防止shell对其中的括号进行错误解析,也可不括但用\对括号进行转义。

常用选项:
-i 指定接口,不加此参数则默认为up状态中(lo除外)接口名最小的那个接口。
    -i any 指定所有接口(但不能工作在混杂模式)
-n :不将主机地址转成主机名
-nn:不将主机地址和端口号转换
-v, -vv, -vvv : 显示详细内容
-e : 同时显示以太网头部
-q显示较少的协议信息
-c COUNT : 只抓特定数量数据包然后停止
-w /path/to/some_file : 将数据包保存到文件
-r /path/from/some_file :从文件中读入数据包
-X : 同时用hex和ASCII显示数据包内容.
-XX :类似-X,但也显示ethernet header.
-A 打印成ASCII
-t不显示时间戳 (不加任何t参数则显示格式为13:56:35.487527)
-ttt 显示与上一个数据包的时间差(ms)(00:00:00.000749)
-tttt : 携带可读时间戳 (2015-10-07 13:53:51.270896)
-ttttt和第一个数据的时间差
-S :打印TCP seq绝对序列号 (默认是相对于抓到的第一个报文的偏移量)
-D 显示可用于抓包的接口
-p不使用混杂模式
-K 不做checksum较验
-Z USER 默认情况下使用的是tcpdump这个用户权限,可以通过-Z root指定为root权限,比如读入或写出到文件时需要有相应权限。
-C SIZE 保存到文件时,文件大小超过时则新建一个文件名加数字文件保存。单位为MB
-s SIZE : 定义只抓每个包的前多少个字节,默认为65535
-z 保存成文件时进行gzip或bzip2压缩
-E 通过提供加密密码解密IPsec数据

常用:
-i -nn - vvv -e -c -w -r -XX -tttt 

有任何疑问请点击留言: 留言板
本文发布于http://wiki.too2.net,转载请联系本人。