tcpdump常用参数说明及常见操作

tcpdump常用参数说明及常见操作

• -a 　　　将网络地址和广播地址转变成名字
• -c 　　　指定抓包的数量
• -d 　　　将匹配信息包的代码以人们能够理解的汇编格式给出
• -dd 　　 将匹配信息包的代码以c语言程序段的格式给出
• -ddd 　　将匹配信息包的代码以十进制的形式给出
• -e 　　　在输出行打印出数据链路层的头部信息
• -f 　　　将外部的Internet地址以数字的形式打印出来
• -l 　　　使标准输出变为缓冲行形式
• -n 　　　不把网络地址转换成名字
• -nnn 　　禁用tcpdump展示时把IP、端口等转换为域名、端口对应的知名服务名称，这样看起来更加清晰
• -t 　　　在输出的每一行不打印时间戳
• -v 　　　输出一个稍微详细的信息，例如在ip包中可以包括ttl和服务类型的信息
• -vv 　　 输出详细的报文信息
• -c 　　　在收到指定的包的数目后，tcpdump就会停止
• -F 　　　从指定的文件中读取表达式,忽略其它的表达式
• -i 　　　指定监听的网络接口
• -r 　　　从指定的文件中读取包(这些包一般通过-w选项产生)
• -w 　　　直接将包写入文件中，并不分析和打印出来
• -T 　　　将监听到的包直接解释为指定的类型的报文，常见的类型有rpc (远程过程调用)和snmp(简单网络管理协议)

过滤协议：tcp、udp、ipv4、ipv6、arp、icmp

tcpdump 实例

1、抓取包含10.10.10.122的数据包
# tcpdump -i eth0 -vnn host 10.10.10.122

2、抓取包含10.10.10.0/24网段的数据包
# tcpdump -i eth0 -vnn net 10.10.10.0/24

3、抓取包含端口22(非22端口)的数据包
# tcpdump -i eth0 -vnn port 22
# tcpdump -i eth0 -vnn port ! 22 

4、抓取udp协议的数据包
# tcpdump -i eth0 -vnn udp

5、抓取icmp协议的数据包
# tcpdump -i eth0 -vnn icmp

6、抓取arp协议的数据包
# tcpdump -i eth0 -vnn arp

7、抓取ip协议的数据包
# tcpdump -i eth0 -vnn ip

8、抓取源ip是10.10.10.122数据包。
# tcpdump -i eth0 -vnn src host 10.10.10.122

9、抓取目的ip是10.10.10.122数据包
# tcpdump -i eth0 -vnn dst host 10.10.10.122

10、抓取源端口是22的数据包
# tcpdump -i eth0 -vnn src port 22

11、抓取源ip是10.10.10.253且目的ip是22的数据包
# tcpdump -i eth0 -vnn src host 10.10.10.253 and dst port 22

12、抓取源ip是10.10.10.122或者包含端口是22的数据包
# tcpdump -i eth0 -vnn src host 10.10.10.122 or port 22

13、抓取源ip是10.10.10.122且端口不是22的数据包
# tcpdump -i eth0 -vnn src host 10.10.10.122 and not port 22

14、抓取源ip是10.10.10.2且目的端口是22，或源ip是10.10.10.65且目的端口是80的数据包。
# tcpdump -i eth0 -vnn \( src host 10.10.10.2 and dst port 22 \) or  \( src host 10.10.10.65 and dst port 80 \)

15、抓取源ip是10.10.10.59且目的端口是22，或源ip是10.10.10.68且目的端口是80的数据包。
# tcpdump -i eth0 -vnn 'src host 10.10.10.59 and dst port 22' or 'src host 10.10.10.68 and dst port 80'

16、把抓取的数据包记录存到/tmp/fill文件中，当抓取100个数据包后就退出程序。
# tcpdump –i eth0 -vnn -w /tmp/file -c 100