tcpdump常用用法
时间:2010-12-02 来源:xuxic
个人非常喜欢tcpdump和wireshark两抓包工具,将tcpdump经常用到的列出来,方面查看。
tcpdump用法:
-s 截取包的长度,0表示抓整个数据包
-e 打印时列出mac address
-n ip and port以数字方式显示
-i 应用在哪个端口
-r 从文件中读取抓包结果
-w 将抓包结果写入文件
-vv 写入文件时,可以看到抓包个数 express:
ip
arp
tcp
udp
icmp
port (src port,dst port)
portrange (src portrange,dst portrange)
ip proto \\icmp
ip proto \\tcp
ip proto \\udp
ip broadcast
ip multicast
ether proto
ether proto \\arp
ether broadcast
ether host
ether dst , ether src
eg:
tcpdump -i eth0 ether broadcast src ehost 02:01:00:00:00:00
tcpdump -i eth0 arp and ether host 00:0c:76:ff:3f:f1 gateway ???
less
greater
例子:
tcpdump dst net 192.168.1.0/24 and dst port not \( 22 or 1041\)
tcpdump dst net not 192.168.1.0/24 and dst port not \(www or 25\) and src port ! \(4011 or 4010 or 4009\)
-s 截取包的长度,0表示抓整个数据包
-e 打印时列出mac address
-n ip and port以数字方式显示
-i 应用在哪个端口
-r 从文件中读取抓包结果
-w 将抓包结果写入文件
-vv 写入文件时,可以看到抓包个数 express:
ip
arp
tcp
udp
icmp
port (src port,dst port)
portrange (src portrange,dst portrange)
ip proto \\icmp
ip proto \\tcp
ip proto \\udp
ip broadcast
ip multicast
ether proto
ether proto \\arp
ether broadcast
ether host
ether dst , ether src
eg:
tcpdump -i eth0 ether broadcast src ehost 02:01:00:00:00:00
tcpdump -i eth0 arp and ether host 00:0c:76:ff:3f:f1 gateway ???
less
greater
例子:
tcpdump dst net 192.168.1.0/24 and dst port not \( 22 or 1041\)
tcpdump dst net not 192.168.1.0/24 and dst port not \(www or 25\) and src port ! \(4011 or 4010 or 4009\)
相关阅读 更多 +
