TCPDUMP是一款强大的网络数据包捕获工具,广泛应用于UNIX/Linux系统中进行网络故障排查和分析。它支持多层次的过滤,包括网络层、协议、主机、网络或端口,以及逻辑操作符辅助精确过滤。本文详细介绍了TCPDUMP的使用方法,包括基本语法和常见参数,如数据包的抓取、解析、保存及输出。
TCPDUMP 指令介绍
tcpdump官网是一个用于截取网络分组,并输出分组内容的工具。事实上已经成为unix/linux系统中用于网络分析和问题排查的首选工具。
tcpdump 支持针对网络层、协议、主机、网络或端口的过滤,还提供and、or、not等逻辑语句来帮助你去掉无用的信息。
命令的基本用法:tcpdump官方文档,由于官方文档为全英文,所以推荐里一份文档:推荐文档
NAME
tcpdump - dump traffic on a network
==============================================================================
语法
==============================================================================
tcpdump [ -AbdDefhHIJKlLnNOpqStuUvxX# ] [ -B buffer_size ]
[ -c count ]
[ -C file_size ] [ -G rotate_seconds ] [ -F file ]
[ -i interface ] [ -j tstamp_type ] [ -m module ] [ -M secret ]
[ --number ] [ -Q|-P in|out|inout ]
[ -r file ] [ -V file ] [ -s snaplen ] [ -T type ] [ -w file ]
[ -W filecount ]
[ -E spi@ipaddr algo:secret,... ]
[ -y datalinktype ] [ -z postrotate-command ] [ -Z user ]
[ --time-stamp-precision=tstamp_precision ]
[ --immediate-mode ] [ --version ]
[ expression ]
常用参数参数(OPTIONS):
| OPTIONS | 描述 |
|---|---|
| -a | 将网络地址和广播地址转变成容易识别的名字 |
| -d | 将已截获的数据包的代码以人容易理解的格式输出; |
| -dd | 将已截获的数据包的代码以C程式的格式输出; |
| -ddd | 将已截获的数据包的代码以十进制格式输出; |
| -e | 输出数据链路层的头部信息; |
| -f | 将internet地址以数字形式输出; |
| -l | 将标准输出变为行缓冲方式; |
| -n | 不将网络地址转换成易识别的主机名,只以数字形式列出主机地址(如IP地址),这样能够避免DNS查询; |
| -t | 不输出时间戳; |
| -v | 输出较周详的信息,例如IP包中的TTL和服务类型信息; |
| -vv | 输出详尽的报文信息; |
| -c | 在捕获指定个数的数据包后退出; |
| -F | 从指定的文档中读取过滤规则,忽略命令行中指定的其他过滤规则; |
| -i | 指定监听的网络接口; |
| -r | 从指定的文档中读取数据包(该文档一般通过-w选项产生); |
| -w | 将截获的数据包直接写入指定的文档中,不对其进行分析和输出; |
| -T | 将截获的数据包直接解释为指定类型的报文,现在支持的类型有cnfp、rpc、rtp、snmp、vat和wb。 |
扫一扫
546
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
