tcpdump抓包

還用tcpdump通常使用的命令以下：

　　tcpdump -i any -n host X.X.X.X and port X -w test.cap

　　代表監放任何網絡接口，抓取ip和端口爲X.X.X.X:X主機上的包，並將結果寫到test.cap上。

而後用wireshark軟件打開test.cap，右鍵Follow TCP Stream，就能夠看到關於包的信息。

 

附：

tcpdump選項
選項     含義
-A                      以ASCII格式打印出全部分組，並將鏈路層的頭最小化
-d                      將匹配信息包的代碼以人們可以理解的彙編格式給出
-D                     打印出系統中全部能夠用tcpdump截包的網絡接口
-ddd                 將匹配信息包的代碼以十進制的形式輸出
-e                      在輸出行打印出數據鏈路層的頭部信息
-f                       將外部的Internet地址以數字的形式打印出來
-l                       使標準輸出變爲緩衝行形式
-L                      列出網絡接口的已知數據鏈路
-n                     不把網絡地址轉換成名字
-N                    不輸出主機名中的域名部分，如「kongove.ubuntu.cn」只輸出「kongove」
-O                    不運行分組分組匹配（packet-matching）代碼優化程序
-p                    不將網絡接口設置成混雜模式
-q     快速輸出，只輸出較少的協議信息
-S     將tcp的序列號以絕對值形式輸出，而不是相對值
-t     在輸出的每一行不打印時間戳
-u     輸出未解碼的NFS句柄
-v     輸出一個稍微詳細的信息，例如在ip包中能夠包括ttl和服務類型的信息
-vv     輸出詳細的報文信息
-c count     指定監聽數據包數量，當收到指定的包的數目後，tcpdump就會中止
-C file_size     限定數據包寫入文件大小
-F file     從指定的文件中讀取表達式,忽略其它的表達式
-i interface     指定監聽網絡接口
-m module     打開指定的SMI MIB組件
-M secret     若是tcp報文中存在TCP-MD5選項，則須要用secret做爲共享的驗證碼用於驗證TCP-MD5選選項摘要（詳見RFC 2385）
-r file     從指定的文件中讀取包(這些包通常經過-w選項產生)
-s snaplen     從每一個分組中讀取最開始的snaplen個字節，而不是默認的68個字節
-T type     將截取的數據包直接解釋爲指定類型的報文，常見類型有rpc（遠程過程調用）和snmp（簡單網絡管理協議），還包括aodv、cnfp、rpc、rtp、rtcp、snmp、tftp、vat、wb等
-w file     指定將監聽到的數據包寫入文件，不分析和打印數據包
-W filecount     限定能寫入文件數據包的數量
-E spi@ipaddr algo:secret,...     用spi@ipaddr algo:secret解密那些以addr做爲地址，而且包含了安全參數索引值spi的IPsec ESP分組
expression     綜合表達式