PCAP 文件内容解析命令

针对网络接口、端口和协议的数据包截取。假定你要截取网络接口eth1，端口号6881的tcp数据包。数据文件保存为test.pcap。

tcpdump -w test.pcap -i eth1 tcp port 6881

很简单吧？如果要同时截取udp端口号33210和33220的数据包呢？

tcpdump -w test.pcap -i eth1 tcp port 6881 or udp \( 33210 or 33220 \)

'\'是转义字符，逻辑符号OR是加(+)的意思。其他表达式是截取端口号6881的tcp包加上端口号33210和33220的UDP包。tcpdump过滤表达式的and运算符是交集的意思，因此截取端口号33210和33220的UDP包使用 or 而不是 and。and运算符的用法在下文描述。

怎样保存文件读取数据包呢？

tcpdump -nnr test.pcap

选项 -nn 不把网络IP和端口号转换成名字，r(read)读取包。

可以添加 -tttt 选项使时间戳格式更加可读。

tcpdump -ttttnnr test.pcap

怎样针对IP截取数据？

需向tcpdump指明IP类型，目的IP还是源IP？比如要嗅探的目的IP为10.168.28.22，tcp端口号22。

tcpdump -w test.pcap dst 10.168.28.22 and tcp port 22

目的IP和端口的交集(intersection)，使用and运算符。

嗅探数据包大小缺省为96 bytes，可以指定 -s 改变缺省值。

tcpdump -w test.pcap -s 1550 dst 10.168.28.22 and tcp port 22

有些版本的tcpdump允许指定端口范围,下述指令为针对一定端口范围截取数据。

tcpdump tcp portrange 20-24

注意，上述指令没有指定 -w 把截取的数据包保存到文件而是直接输出到屏幕。

转载：http://www.cnblogs.com/lvdongjie/p/4067148.html