歡迎來到Linux教程網
Linux教程網
Linux教程網
Linux教程網
您现在的位置: Linux教程網 >> UnixLinux >  >> Linux基礎 >> Linux技術

tcpdump命令的使用方法

  在Linux命令行裡邊我們需要借助tcpdump命令進行抓包,下面小編與大家分享一下tcpdump命令的使用方法,希望對大家有所幫助

  tcpdump命令的使用方法

  實用命令實例

  默認啟動

  tcpdump

  普通情況下,直接啟動tcpdump將監視第一個網絡接口上所有流過的數據包。

  監視指定網絡接口的數據包

  tcpdump -i eth1

  如果不指定網卡,默認tcpdump只會監視第一個網絡接口,一般是eth0,下面的例子都沒有指定網絡接口。

  監視指定主機的數據包

  打印所有進入或離開sundown的數據包.

  tcpdump host sundown

  也可以指定ip,例如截獲所有210.27.48.1 的主機收到的和發出的所有的數據包

  tcpdump host 210.27.48.1

  打印helios 與 hot 或者與 ace 之間通信的數據包

  tcpdump host helios and \( hot or ace \)

  截獲主機210.27.48.1 和主機210.27.48.2 或210.27.48.3的通信

  tcpdump host 210.27.48.1 and \ (210.27.48.2 or 210.27.48.3 \)

  打印ace與任何其他主機之間通信的IP 數據包, 但不包括與helios之間的數據包.

  tcpdump ip host ace and not helios

  如果想要獲取主機210.27.48.1除了和主機210.27.48.2之外所有主機通信的ip包,使用命令:

  tcpdump ip host 210.27.48.1 and ! 210.27.48.2

  截獲主機hostname發送的所有數據

  tcpdump -i eth0 src host hostname

  監視所有送到主機hostname的數據包

  tcpdump -i eth0 dst host hostname

  監視指定主機和端口的數據包

  如果想要獲取主機210.27.48.1接收或發出的telnet包,使用如下命令

  tcpdump tcp port 23 and host 210.27.48.1

  對本機的udp 123 端口進行監視 123 為ntp的服務端口

  tcpdump udp port 123

  監視指定網絡的數據包

  打印本地主機與Berkeley網絡上的主機之間的所有通信數據包(nt: ucb-ether, 此處可理解為'Berkeley網絡'的網絡地址,此表達式最原始的含義可表達為: 打印網絡地址為ucb-ether的所有數據包)

  tcpdump net ucb-ether

  打印所有通過網關snup的ftp數據包(注意, 表達式被單引號括起來了, 這可以防止shell對其中的括號進行錯誤解析)

  tcpdump 'gateway snup and (port ftp or ftp-data)'

  打印所有源地址或目標地址是本地主機的IP數據包

  (如果本地網絡通過網關連到了另一網絡, 則另一網絡並不能算作本地網絡.(nt: 此句翻譯曲折,需補充).localnet 實際使用時要真正替換成本地網絡的名字)

  tcpdump ip and not net localnet

Copyright © Linux教程網 All Rights Reserved