tcpdump [options] [Protocol] [Direction] [Host(s)] [Value] [Logical Operations] [Other expression] Protocol(协议): 常用的有ether, ip, arp, tcp and udp。另外不常用的: fddi,rarp,decnet,lat, sca, moprc, mopdl, 不指定则默认所有 Direction: src, dst, src and dst, src or dst 默认是src or dst Host(s) net, port, host, portrange. 默认host。 Logical Operations: and or not 或&& || ! 表达式用引号括起来可以防止shell对其中的括号进行错误解析,也可不括但用\对括号进行转义。 常用选项: -i 指定接口,不加此参数则默认为up状态中(lo除外)接口名最小的那个接口。 -i any 指定所有接口(但不能工作在混杂模式) -n :不将主机地址转成主机名 -nn:不将主机地址和端口号转换 -v, -vv, -vvv : 显示详细内容 -e : 同时显示以太网头部 -q显示较少的协议信息 -c COUNT : 只抓特定数量数据包然后停止 -w /path/to/some_file : 将数据包保存到文件 -r /path/from/some_file :从文件中读入数据包 -X : 同时用hex和ASCII显示数据包内容. -XX :类似-X,但也显示ethernet header. -A 打印成ASCII -t不显示时间戳 (不加任何t参数则显示格式为13:56:35.487527) -ttt 显示与上一个数据包的时间差(ms)(00:00:00.000749) -tttt : 携带可读时间戳 (2015-10-07 13:53:51.270896) -ttttt和第一个数据的时间差 -S :打印TCP seq绝对序列号 (默认是相对于抓到的第一个报文的偏移量) -D 显示可用于抓包的接口 -p不使用混杂模式 -K 不做checksum较验 -Z USER 默认情况下使用的是tcpdump这个用户权限,可以通过-Z root指定为root权限,比如读入或写出到文件时需要有相应权限。 -C SIZE 保存到文件时,文件大小超过时则新建一个文件名加数字文件保存。单位为MB -s SIZE : 定义只抓每个包的前多少个字节,默认为65535 -z 保存成文件时进行gzip或bzip2压缩 -E 通过提供加密密码解密IPsec数据 常用: -i -nn - vvv -e -c -w -r -XX -tttt有任何疑问请点击留言: 留言板
本文发布于http://wiki.too2.net,转载请联系本人。