tcpdump 常用命令

常用的一些简单用法,一般是抓取对应网卡、端口、对应IP等。
tcpdump  -nn 本地网卡地址以及外部链接地址 ,并采用IP地址、端口表示。 如果不加-nn 则会本机主机名以及外部客户端myblast显示。
tcpdump -i eth1 抓取网卡eth1包链接情况。如果不指定网卡,默认抓取eth0数据包。
tcpdump -i eth1 port 80 抓取eth1网卡80端口链接情况。
tcpdump  -nn  -i eth1 port 80  -c 20 抓取eth1网卡80端口链接情况并长度20。
tcpdump -nn tcp 抓取tcp 链接包。如udp,则将tcp改成udp即可。
tcpdump  -nn  -i eth1 port 80  and host 118.112.163.61  -c 10 抓取抓取eth1网卡80端口和链接地址118.112.163.61链接情况并长度10。
tcpdump  -nn  -s0 -i eth1 port 80  and host 118.112.163.61  -c 10  同上相比,加了参数-s0 代表抓取完整包。

某个ip所有包: tcpdump -i eth0 host 118.114.245.37

所有经过80端口包: tcpdump -i eth0 tcp port 80 -n -X -s 0

域名信息:tcpdump -n -X -s0 -i eth0|grep Host -C 3

过滤HTTP的GET请求:tcpdump -i eth0 -s 0 -A ‘tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420’

过滤HTTP的POST请求:tcpdump -i eth0 -s 0 -A ‘tcp dst port 80 and (tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x504f5354)’

80端口和主机两个条件的包,vvv显示比较详细的信息:tcpdump -vvvnns 1500 -i eth0 dst port 80 and host 118.114.245.37

Add a Comment

电子邮件地址不会被公开。 必填项已用*标注