tcpdump

一.概述

1.tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析，支持对网络层、协议、主机、网络或端口的过滤，并提供and、or、not等逻辑语句来处理。

二.使用

1.tcpdump [options][expression]

2.常用参数

1）-i  eth1，用来指定网卡，只抓取经过eth1的数据包，默认为第一个网络接口，一般为eth0；

2）-s0：抓取数据包时默认抓取长度为68字节，通过-s0 后可以抓到完整的数据包；

3）-c count：指定抓包的数量；

4）以ASCII码方式显示每一个数据包(不会显示数据包中链路层头部信息)，在抓取包含 网页数据的数据包时, 可方便查看数据；

5）-v：当分析和打印的时候，产生详细的输出.。比如, 包的生存时间、标识、 总长度以及IP包的一些选项， 这也会打开一些附加的包完整性；

6）-w：把数据包写入文件；

7）-n：不对地址(比如, 主机地址, 端口号)进行数字表示到名字表示的转换；

3.使用

1）host：指定主机，后跟主机名或IP；

2）ip：只抓取IP包；

3）tcp/udp：tcp或者udp包；

4）port：指定端口；

5）src/dst：用来指定通过源主机或目的主机的数据包；

4.逻辑符号

and：逻辑与；

or：逻辑或；

not：逻辑非。

5.实例

1）抓取所有离开或进入主机hostname的包：

tcpdump host hostname

2）抓取主机1.1.1.1与主机2.2.2.2或3.3.3.3通信的数据包：

tcpdump host 1.1.1.1 and  \(2.2.2.2 or 3.3.3.3 \)

3)抓取主机1.1.1.1与其他主机通信的IP包，除了2.2.2.2

tcpdump ip host 1.1.1.1 and not 2.2.2.2

4)抓取主机1.1.1.1发送的所有数据

tcpdump src host 1.1.1.1

5)抓取主机1.1.1.1接收的所有数据

tcpdump dst host 1.1.1.1

6)获取通过主机1.1.1.1的全部telnet包

tcpdump tcp port 23 and host 1.1.1.1

7)常用的使用方法

tcpdump -A -n -v -s0 -i eth0 host 1.1.1.1 -w /home/host.cap