type
status
date
slug
summary
tags
category
icon
password
关于主机和端口的关键字:
包括host、port、net。例如host 192.168.1.1表示指定一台主机,net 192.168.0.0表示指定一个网络地址,port 22指明端口号是22。如果没有指明类型,则默认类型为host。
数据传输方向的关键字:
包括src、dst、dst or src、dst and src,这些关键字指明了数据传输的方向。
例如src 192.168.1.1表示数据包源地址是192.168.1.1,dst net 192.168.0.0表示目的网络地址是192.168.0.0。
默认情况下会监控主机对主机的src和dst,即监听本机和目标主机之间的所有数据。
协议关键字:
ip、arp、rarp、tcp、udp等。
运算类型关键字:
or、and、not、!
辅助功能型关键字:
gateway、less、broadcast、greater
查看主机全部网卡
tcpdump -D 或者 tcpdump --list-interfaces
监听指定网卡
tcpdump -i eth0 #-i 后面跟网卡名称,指定捕获eth0上的数据包;如果不指定,默认抓取tcpdump -D 查询到的第一个网卡
捕获指定网卡上特定主机的数据包
tcpdump -i eth0 host 192.168.10.xx #过滤和主机192.168.10.xx有关的数据包; -c 指定抓包的个数
捕获指定源和目标IP的报文
- tcpdump -i eth0 src host 192.168.10.xx #捕获eth0上源主机为192.168.10.xx的所有数据包
- tcpdump -i eth0 dst host 192.168.20.xx #捕获eth0上所有发往主机192.168.20.xx的数据包
捕获指定端口的报文
tcpdump -i eth0 dst 192.168.70.xx and port 22 -c 10 #捕获eth0上目标为192.168.70.xx且端口为22的报文,限制10个
捕获指定协议的报文
tcpdump icmp #捕获icmp协议报文
tcpdump icmp and host 172.16.xx.xx #捕获和172.16.xx.xx相关的icmp协议报文
保存抓包文件
tcpdump -i eno3 icmp -w xxx.pcap #参数-w用于将抓包结果保存到xxx.pcap文件
- Author:KingCode
- URL:https://kingcode.dpdns.org/article/26941f05-7943-8023-b3ef-e930cc5ae883
- Copyright:All articles in this blog, except for special statements, adopt BY-NC-SA agreement. Please indicate the source!
