tcpdump抓取數據包

語法

選項

表達式

例子

語法格式：

       tcpdump [ -AdDefIKlLnNOpqRStuUvxX ] [ -B buffer_size ] [ -c count ]
               [ -C file_size ] [ -G rotate_seconds ] [ -F file ]
               [ -i interface ] [ -m module ] [ -M secret ]
               [ -r file ] [ -s snaplen ] [ -T type ] [ -w file ]
               [ -W filecount ]
               [ -E spi@ipaddr algo:secret,...  ]
               [ -y datalinktype ] [ -z postrotate-command ] [ -Z user ]

               [ expression ]

————————————————————————————————————————

"man tcpdump"

選項：

-A    以 ASCII 碼顯示

-w    保存輸出到一個文件

-r    從保存的文件讀取

-c    指定須要抓獲匹配的數據包數目

-D    查看能夠用來監聽的設備

-C    指定保存爲文件時，文件的最大值

      單位是MB（100萬字節=1000 * 1000;not 1024 * 1024）

-i    監聽的端口

-K    不用檢查校驗和（ip tcp udp）

-n    不要對主機名進行dns解析

-nn    不要對主機名和端口進行解析

"man pcap-filter"

表達式：        （3種類型）

TYPE

    host    net    port    portrange

'host hhh'    'net 128.33'    'port 80 and 443'    'portrange 6000-6600'

默認是‘host’

DIR

    src    dst    src and dst    src or dst

'src hhh'    'dst net 34.73'    'src or dst port 12012'    'dst port ftp-data'

PROTO

    ether    fddi    tr    wlan    ip    ip6    arp    rarp    tcp    udp    decnet

'ether src hhh'    'arp net 128.33'    'tcp port 443'    'udp portrang 6600-7000'

例子
eg:    某些狀況下須要特權用戶執行該命令

$ tcpdump -D  

1.usbmon1 (USB bus number 1)
2.usbmon2 (USB bus number 2)

# tcpdump -D  

1.wlan0
2.br0
3.nflog (Linux netfilter log (NFLOG) interface)
4.nfqueue (Linux netfilter queue (NFQUEUE) interface)
5.em1
6.usbmon1 (USB bus number 1)
7.usbmon2 (USB bus number 2)
8.any (Pseudo-device that captures on all interfaces)
9.lo

eg:

# tcpdump -i 1 -c 13000 -w tmp.cap  

當不指定「-i」的選項時，默認以最小值監聽。

eg：

# tcpdump -i eth2 -A dst host 10.0.0.241 > ftp.cap

獲取登陸 ftp 服務的帳號和密碼

# grep -i "user" ftp.cap

# grep -i "pass" ftp.cap