tcpdump抓包經常使用命令列舉

情形1、採集指定網絡接口和端口的數據包

    sudo tcpdump -s 0 -x -n -tttt -i bond0  port  55944 -w /tmp/mysql_tmp.tcp

情形2、採集指定ip(來源或目標)和網絡接口的數據包

    sudo tcpdump  -s 0  -x -n -tttt -i bond0  host 10.15.189.191 -w /tmp/mysql_3.tcp

情形3、採集多個ip(來源或目標)和網絡接口的數據包

   sudo tcpdump  -s 0  -x -n -tttt -i bond0  \(host 192.168.1.10 or host 192.168.1.11\) -w /tmp/mysql_3.tcp

   ps：使用()必定要用 \ 轉義。

情形4、採集指定協議、網絡接口和端口的數據包

    sudo tcpdump -s 0 -x -n -tttt tcp -i eth0  port  55944 -w /tmp/mysql_tmp1.tcp

  sudo tcpdump  -s 0  port 55944 and   dst 10.15.72.125  -x -n -tttt  -C 256  -w /tmp/tcpdump_$(date +"%Y%m%d-%H%M%S").pcap

tcpdump過濾語句介紹：

過濾表達式大致能夠分紅三種過濾條件，「類型」、「方向」和「協議」，這三種條件的搭配組合就構成了咱們的過濾表達式。

一、關於類型的關鍵字，主要包括host，net，port。

例如 host 210.45.114.211，指定主機 210.45.114.211，net 210.11.0.0 指明210.11.0.0是一個網絡地址，port 21 指明

端口號是21。若是沒有指定類型，缺省的類型是host.

二、關於傳輸方向的關鍵字，主要包括src , dst ,dst or src, dst and src ,這些關鍵字指明瞭傳輸的方向。

舉例說明，src 210.45.114.211 ,指明ip包中源地址是210.45.114.211, dst net 210.11.0.0 指明目的網絡地址是210.11.0.0  。若是沒有指明

方向關鍵字，則缺省是src or dst關鍵字。

三、關於協議的關鍵字，主要包括ip,ip6,arp,rarp,tcp,udp等類型。

 這幾個的包的協議內容。若是沒有指定任何協議，則tcpdump將會監聽全部協議的信息包。

 

數據包查看方法：

將tcpdump導出的數據包，經過sz命令導出本機，經過wireshark查看。

sudo tcpdump -s 0 port 55944 -x -n -tttt -C 256 -w /tmp/tcpdump_$(date +"%Y%m%d-%H%M%S").pcap