Linux下Tcpdump抓包工具的使用詳解

    TcpDump能夠將網絡中傳送的數據包的「頭」徹底截獲下來提供分析。它支持針對網絡層、協議、主機、網絡或端口的過濾，並提供and、or、not等邏輯語句來幫助你去掉無用的信息。

 

1、類型參數
  主要包括：host,net,port
  用法：
  tcpdump -i eth0 host 192.168.1.105
  tcpdump -i eth0 net 202.0.0.0
  tcpdump -i eth0 port 23 

若是沒有指定類型，缺省的類型是host；

 

2、傳輸方向參數
  主要包括：src,dst,dst or src,dst and src
  用法：
  tcpdump -i eth0 src 192.168.1.105
  tcpdump -i eth0 dst 61.135.169.105
  tcpdump -i eth0 dst net 61.135.169.0/24

 

若是沒有指明方向關鍵字，則缺省是src or dst關鍵字；

 

3、協議參數
  主要包括：fddi,ip,arp,rarp,tcp,udp,icmp
  用法：
  tcpdump -i eth0 icmp

 

若是沒有指定任何協議，則tcpdump將會監聽全部協議的信息包；

 

4、邏輯參數
  主要包括：and,or,not
  用法
  tcpdump -i eth0 icmp and src 61.135.169.105
  tcpdump -i eth0 icmp or host 192.168.1.105
  tcpdump -i eth0 not host 192.168.1.104

 

5、其它參數
  主要包括：gateway, broadcast,less,greater
  用法：

 

選項說明：
(1)tcp: ip icmp arp rarp 和 tcp、udp、icmp這些選項等都要放到第一個參數的位置，用來過濾數據報的類型；
(2)-i eth1 : 只抓通過接口eth1的包；
(3)-t : 不顯示時間戳；
(4)-s 0 : 抓取數據包時默認抓取長度爲68字節。加上-S 0 後能夠抓到完整的數據包；
(5)-c 100 : 只抓取100個數據包；
(6)dst port ! 22 : 不抓取目標端口是22的數據包；
(7)src net 192.168.1.0/24 : 數據包的源網絡地址爲192.168.1.0/24；
(8)-w ./target.cap : 保存成cap文件，方便用ethereal(即wireshark)分析；

(9)-v v 輸出詳細的報文信息；

(10)-nn 直接以 IP 及 Port Number 顯示，而非主機名與服務名稱；