1、剛剛接觸tcpdump時,常用tcpdump -i eth1 host 192.168.1.1 這個命令基於ip地址抓取數據包信息。
tcpdump -i eth1(接口名稱) host 192.168.1.1(計算機IP地址)
2、在分析客戶的網絡中,經常會用到設備中自帶的tcpdump軟件,再配合PC端的wireshark軟件來簡單檢查分析客戶的網絡情況。
這時候經常用到的tcpdump參數為:
tcpdump -i eth1 -nn(不做地址解析) -s0(抓取數據包長度不限制) -v(顯示詳細信息,需要顯示更詳細信息,可再加兩個) -e (列出鏈路層頭部) -c 20 (抓取指定個數的數據包,比如此處寫20個,則為抓取20個包就停止)
如果不加 -n 參數的話,抓取的數據包會顯示主機名或者域名信息,端口也會顯示為相關的服務,如抓80端口,會顯示為http
如果不加-s0參數的話,默認只抓取一部分(68字節),則數據包在wireshark中打開,會顯示數據包不完整
3、在分析dhcp數據包的交互(IP地址下發),arp攻擊等問題時,會涉及到鏈路層頭部的抓取,也就是mac地址。抓取命令為
tcpdump -i eth1 ether src 6c:41:6a:ac:11:42 -c 10 // 在接口eth1上,抓取源mac地址為6c:41:6a:ac:01:42的數據包,個數為10