tcpdump方法使用总结

1)  想要截获所有210.27.48.1 的主机收到的和发出的所有的数据包

2)  截获主机210.27.48.1 和主机210.27.48.2 或210.27.48.3的通信

3)  获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包

4)  获取主机210.27.48.1接收或发出的telnet包

5)  对本机的udp 123 端口进行监视123 为ntp的服务端口

6)  读取主机hostname发送的所有数据

7)  打印ace与任何其他主机之间通信的IP数据包, 但不包括与helios之间的数据包

8)  截获主机hostname发送的所有数据

9)  打印所有通过网关snup的ftp数据包

10) 对bond1网卡的8090端口抓包

11) 过滤源主机物理地址为00:50:04:BA:9B的报头

12) 只过滤源主机192.168.0.1的所有udp报头

 

 

 

 

 

 

 

 

 

 

 

1) Tcpdump  host  210.27.48.1 

2) tcpdump host 210.27.48.1 and (210.27.48.2 or 210.27.48.3 )

3)      tcpdump host 210.27.48.1 and! 210.27.48.2

4)      tcpdump tcp port 23 host 210.27.48.1

5)      tcpdump udp port 123

6)      tcpdump –i eth0 src hosthostname

7)      tcpdump ip host ace andnot helios

8)      tcpdump –i eth0 src hosthostname

9)      tcpdump ‘gateway snup and(ftp or ftp-data)’

10)   tcpdump -i bond1 -X -vvv -n -s0  port  8090  

11)   tcpdump ether src 00:50:04:BA:9B and dst……

12)  tcpdump udpand src host 192.168.0.1

 

 

语法

tcpdump是常用的抓包工具，在业务调测与故障处理过程中，常常可以借助抓包消息来帮助分析定位和处理问题。

tcpdump采用命令行方式，它的命令格式为：

tcpdump [-adeflnNOpqStvx][-c<数据包数目>][-dd][-ddd][-F<表达文件>][-i<网络界面>][-r<数据包文件>][-s<数据包大小>][-tt][-T<数据包类型>][-vv][-w<数据包文件>][输出数据栏位]

tcpdump的选项介绍：

l   -a：将网络地址和广播地址转变成名字。

l   -d：把编译过的数据包编码转换成可阅读的格式，并输出到屏幕上。

l   -dd：把编译过的数据包编码转换成C语言的格式，并输出到屏幕上。

l   -ddd：把编译过的数据包编码转换成十进制数字的格式，并输出到屏幕上。

l   -e：在输出行打印出数据链路层的头部信息。

l   -f：将外部的Internet地址以数字的形式打印出来。

l   -l：使标准输出变为缓冲行形式。

l   -n：不把网络地址转换成名字。

l   N：不列出域名。

l   -t：在输出的每一行不打印时间戳。

l   -tt：在输出的每一行显示未经格式化的时间戳。

l   -v：输出一个稍微详细的信息，例如在ip包中可以包括ttl和服务类型的信息。

l   -vv：输出详细的报文信息。

l   -c<数据包数目>：在收到指定的包的数目后，tcpdump就会停止输出报文操作。

l   -F <表达文件>：从指定的文件中读取表达式，忽略其它的表达式。

l   -i <网络接口>：指定监听的网络接口。

l   -r <数据包文件>：从指定的文件中读取包(这些包一般通过-w选项产生)。

l   -w<数据包文件>：把数据包数据写入指定的文件。

l   -T<数据包类型>：将监听到的包直接解释为指定的类型的报文，常见的类型有rpc（远程过程调用）和snmp（简单网络管理协议）。

l   -O：不将数据包编码最佳化。

l   -p：不让网络界面进入混杂模式。

l   -q：快速输出，仅列出少数的传输协议信息。

l   -s<数据包大小>：设置每个数据包的大小。

l   -S：用绝对而非相对数值列出TCP关联数。

l   -x：用十六进制字码列出数据包资料。