tcpdump常用用法

　　tcpdump用法：

　　-s 截取包的长度，0表示抓整个数据包

　　-e 打印时列出mac address

　　-n ip and port以数字方式显示

　　-i 应用在哪个端口

　　-r 从文件中读取抓包结果

　　-w 将抓包结果写入文件

　　-vv 写入文件时，可以看到抓包个数

　　express:

　　ip

　　arp

　　tcp

　　udp

　　icmp

　　port (src port,dst port)

　　portrange (src portrange,dst portrange)

　　ip proto \\icmp

　　ip proto \\tcp

　　ip proto \\udp

　　ip broadcast

　　ip multicast

　　ether proto

　　ether proto \\arp

　　ether broadcast

　　ether host

　　ether dst , ether src

　　eg:

　　tcpdump -i eth0 ether broadcast src ehost 02:01:00:00:00:00

　　tcpdump -i eth0 arp and ether host 00:0c:76:ff:3f:f1

　　gateway ???

　　less

　　greater

　　例子：

　　tcpdump dst net 192.168.1.0/24 and dst port not \( 22 or 1041\)

　　tcpdump dst net not 192.168.1.0/24 and dst port not \(www or 25\) and src port ! \(4011 or 4010 or 4009\)

标签分类：