tcpdump 使用实践

tcpdump常用配置指导

 参考：http://www.cnblogs.com/ggjucheng/archive/2012/01/14/2322659.html

1. 指定端口抓包  -i 

说明：

普通情况下，直接启动tcpdump将监视第一个网络接口上所有流过的数据包。

2. 只抓10个包

 tcpdump -i ens33  -c 10

举例：

3. 显示报文的以太头  -e

下面是抓取和www.baidu.com之间通信的4个报文，每个报文显示以太头。

显示报文的完整内容，-xx

tcpdump -i ens33 -xx -vvv host www.baidu.com

4. 只抓与某个主机交互的包  h

ost 选项

tcpdump -i ens33  host www.baidu.com

 举例

5. 只抓tcp报文，udp报文，http报文，https报文

tcpdump -i ens33 tcp -c 4

举例：只抓取4个tcp报文

tcpdump -i ens33 udp

举例，下例子中，只有www.baidu.com的dns解析会被抓到，ping包的icmp不会抓到。

抓icmp报文，如下：

 抓http报文，如下，举例见下面的内容：

tcpdump -i ens33 tcp port 80

抓https报文，如下：

tcpdump -i ens33 tcp port 443

6. 只抓指定tcp端口号，udp端口号的报文

tcpdump -i ens33 tcp port 80

举例：

tcpdump -i ens33 udp port 53

7. 显示主机A和主机B之间的报文

   tcpdump -i ens33  host  www.baidu.com and 192.168.248.156

   举例：下例子中，ping 163时，tcpdump不会抓到包，但是ping baidu时，会抓到包。

8. 将抓包结果实时保存到文件中  -w 

tcpdump -i ens33 tcp port 443 -w ./https.cap

再使用 xftp 将文件导出到windows后，再使用wireshark进行查看。

9. 显示报文更详细的内容：

tcpdump -i ens33 -vvv host www.baidu.com

tcpdump 使用实践

原文：http://www.cnblogs.com/zhouhaibing/p/7633198.html