Linux下tcpdump命令的使用

原始出處http://520and519.blog.51cto.com/2254416/1432514

tcpdump是linux下網絡抓包工具。

監控指定網卡的網絡數據包

#tcpdump -i eth1

默認狀況下，只監控第一塊網卡。

監控指定主機的網絡數據包

#tcpdump -i eth1 host  192.168.1.1

監控指定兩個主機之間的網絡數據包

#tcpdump -i eth1 host  192.168.1.1 and 192.168.1.2

獲取主機192.168.1.1除了和主機192.168.1.2以外全部主機通訊的ip包

#tcpdump -i eth1 host  192.168.1.1 and ! 192.168.1.2

獲取主機192.168.1.1接收或發出的telnet包

#tcpdump -i eth1 tcp port 23 host 192.168.1.1

打印結果輸出到cap文件

#tcpdump -i eth1 -w aa.cap

經常使用參數

#tcpdump tcp -i eth1 -t -s 0 100 and dst port ! 23 and src net 192.168.1.0/24 -w aa.cap

(1)tcp: ip icmp arp rarp 和 tcp、udp、icmp這些選項等都要放到第一個參數的位置，用來過濾數據報的類型(2)-i eth1 : 只抓通過網卡eth1的包(3)-t : 不顯示時間戳(4)-s 0 : 抓取數據包時默認抓取長度爲68字節。加上-S 0 後能夠抓到完整的數據包(5)-c 100 : 只抓取100個數據包(6)dst port ! 23 : 不抓取目標端口是22的數據包(7)src net 192.168.1.0/24 : 數據包的源網絡地址爲192.168.1.0/24(8)-w aa.cap : 保存成cap文件，方便用wireshark分析