tcpdump命令简介

转载地址：http://blog.csdn.net/kzjay/article/details/5930299

1. 输出到文件中

tcpdump -w tcpdump.log -s 0 -i eth0 tcp and port not 22 and host mycentos

 

2. 读入并分析 

tcpdump -r tcpdump.log -nn -t -XX | less

 

参数可分为两组，dump时的参数和显示时的参数，如同tcpdump的工作方式

 

dump参数:

 

-w 将截取的IP包输出到一个文件里，文件大小和个数的归规则亦可指定

-c 截取到一定量的packet后停止，很有用

-i 指定监听的网卡

-s 0  截取全部数据包（不然它会丢掉过头的用户数据）

 

归规表达式。。。。

 

显示参数：

 

-r 从刚才dump的packet包文件中重新读入

-nn 显示IP和PORT

-t 不显示时间

-XX 显示数据内容