tcpdump用法

1.抓包另存爲文件

tcpdump -i  xgbe0 -s 0 -w /tmp/tmp.pcap

-s 設置數據報截取長度，默認68字節，去掉這個限制加上-s 0便可

2.抓包可視化ascii顯示

tcpdump -i  xgbe0 -s 0 -A

tcpdump -i  xgbe0 -s 0 -X

此處結合grep命令會很強大，好比要抓某一類http 請求的包

tcpdump -i xgbe0 -s 0 -X | grep ulog

3.限定來源ip，抓取目標ip是10.98.34.67的包

tcpdump -i xgbe0 -s 0 dst host 10.98.34.67

 

第一種是關於類型的關鍵字，主要包括host，net，port，例如 host 210.27.48.2， 指明 210.27.48.2是一臺主機，net 202.0.0.0指明202.0.0.0是一個網絡地址，port 23 指明端口號是23。若是沒有指定類型，缺省的類型是host。 
第二種是肯定傳輸方向的關鍵字，主要包括src，dst，dst or src，dst and src， 這些關鍵字指明瞭傳輸的方向。舉例說明，src 210.27.48.2 ，指明ip包中源地址是 210.27.48.2 ， dst net 202.0.0.0 指明目的網絡地址是202.0.0.0。若是沒有指明 方向關鍵字，則缺省是src or dst關鍵字。 
第三種是協議的關鍵字，主要包括fddi，ip，arp，rarp，tcp，udp等類型。Fddi指明是在FDDI (分佈式光纖數據接口網絡)上的特定的網絡協議，實際上它是」ether」的別名，fddi和ether 具備相似的源地址和目的地址，因此能夠將fddi協議包看成ether的包進行處理和分析。 其餘的幾個關鍵字就是指明瞭監聽的包的協議內容。若是沒有指定任何協議，則tcpdump 將會 監聽全部協議的信息包。

 

tcpdump -i eth1 -s 0 | grep -v relay | grep -v -P 'ns\d' | grep -v matrix | grep -v img1 | grep -v noah | grep -v afs | grep -v '10.36.5.250' | grep -v 'zk01' | grep -v bvc | grep -v 'inf-ssl'