tcpdump 命令手册

1、示例

tcpdump -nvvv  -i  lo port 554 -w  test.pcap

tcpdump -i usb0 tcp port 80 and  host 192.168.10.1  -w test.pcap

一、tcpdump基本命令

    tcpdump -n                    将主机名转换为IP地址 -nn 不把协议和端口号转换为名称

    tcpdump -v                    信息增多（有等级，v,vv,vvv 三个等级）

    tcpdump -i lo                 指定网络接口，eth或者lo这类的,any 表示任意接口

    tcpdump -w ./tcpdata.pcap     将信息保存为tcpdata.pcap，支持使用wireshark工具分析

    tcpdump -r ./tcpdata.pcap     从tcpdata.pcap读数据

    tcpdump -s 100                指定抓包大小,缺省抓65535字节的，可以指定100字节，表示过滤掉超过100字节的size

    tcpdump -c 100                抓100个数量包就退出

    tcpdump -XX(xx)                   打印16进制数据

    tcpdump -A                    只打印ASCII码

   tcpdump -t                    时间输出选项

-t/-tt/-ttt/-tttt

-t：在每行的输出中不输出时间

-tt：在每行的输出中会输出时间戳

-ttt：输出每两行打印的时间间隔（以毫秒为单位）

-tttt：在每行打印的时间戳之前添加日期的打印（此种选项，输出的时间最直观）

二 逻辑运算符

 and

or

not

例：

tcpdump -i any -c 3 port 22 and port 60738

过滤元和目的端口，3个包

两个端口为

port 80 or port 443

三 ICMP，UDP，ARP，ip,tcp，等包

 tcpdump -nvvv -i any -c 2 icmp

 tcpdump -nvvv -i any -c 2 udp

四 使用字段

dst，----------随意搭配，非必须

src----------随意搭配，非必须

tcp ----------随意搭配，非必须

host

net(tcp src net 192.168.0.0/24 -----直接过滤这个源网段的数据包)

port

portrange 8000-8080(端口段)

less小于多少的数据包

tcpdump less 32 （小于32byte）

greater 大于

tcpdump greater 1000 （大于1000byte）