Linux系統-tcpdump經常使用抓包命令

 

序言

單獨總結tcpdump抓包的經常使用命令

主要語法

• 過濾主機/IP： 
  • tcpdump -i eth1 host 172.16.7.206
  • 抓取全部通過網卡1，目的IP爲172.16.7.206的網絡數據 

     

• 過濾端口： 
  • tcpdump -i eth1 dst port 1234
  • 抓取全部通過網卡1，目的端口爲1234的網絡數據 

     

• 過濾特定協議： 
  • tcpdump -i eth1 udp
  • 抓取全部通過網卡1，協議類型爲UDP的網絡數據 

     

• 抓取本地環路數據包 
  • tcpdump -i lo udp 抓取UDP數據
  • tcpdump -i lo udp port 1234 抓取端口1234的UDP數據
  • tcpdump -i lo port 1234 抓取端口1234的數據 

     

• 特定協議特定端口： 
  • tcpdump udp port 1234
  • 抓取全部通過1234端口的UDP網絡數據 

     

• 抓取特定類型的數據包： 
  • tcpdump -i eth1 ‘tcp[tcpflags] = tcp-syn’
  • 抓取全部通過網卡1的SYN類型數據包
  • tcpdump -i eth1 udp dst port 53
  • 抓取通過網卡1的全部DNS數據包（默認端口） 

     

• 邏輯語句過濾： 
  • tcpdump -i eth1 ‘((tcp) and ((dst net 172.16) and (not dst host 192.168.1.200)))’
  • 抓取全部通過網卡1，目的網絡是172.16，但目的主機不是192.168.1.200的TCP數據 

     

• 抓包存取： 
  • tcpdump -i eth1 host 172.16.7.206 and port 80 -w /tmp/xxx.cap
  • 抓取全部通過網卡1，目的主機爲172.16.7.206的端口80的網絡數據並存儲