TCPDUMP的一些常见用法

说明：下文内容很多收录自 “Packet Analyzer: 15 TCPDUMP Command Examples”

 

1. 监听指定网卡上的包

$ tcpdump -i eth1

 

2. 指定监听包的数量

$ tcpdump -c 2 -i eth0

 

3. 以ASCII方式显示捕捉到的包

$ tcpdump -A -i eth0

 

4. 以ASCII和HEX方式显示捕捉到的包

$tcpdump -XX -i eth0

 

5. 将捕捉到的包写入到指定文件

$tcpdump -w 08232010.pcap -i eth0

 

6. 从保存的文件中都取

$tcpdump -tttt -r data.pcap

 

7. 捕捉包时显示IP地址

$ tcpdump -n -i eth0

 

8. 显示更易于阅读的时间戳

$tcpdump -n -tttt -i eth0

 

9. 都取长于N的包

$ tcpdump -w g_1024.pcap greater 1024

 

10. 只捕获指定协议的包

$ tcpdump -i eth0 arp

 

11. 都取小于N字节的包

$ tcpdump -w l_1024.pcap  less 1024

 

12. 捕捉指定端口的包

$ tcpdump -i eth0 port 22

 

13. 捕捉特定目标IP和端口的包

$ tcpdump -w xpackets.pcap -i eth0 dst 10.181.140.216 and port 22

 

14. 捕捉两台主机之间的TCP通信包

$tcpdump -w comm.pcap -i eth0 dst 16.181.170.246 and port 22

 

15. 过滤特定的包

$ tcpdump -i eth0 not arp and not rarp