tcpdump抓包

tcpdump 参数相关

-i:指定监听的网络接口

tcpdump -i eth0 表明监听eth0网络接口的包

tcpdump -i any 表明监听所有网络接口的包

-A: 以ASCII格式打印出所有分组，并将链路层的头最小化。

-c: 收到指定包的数目后，tcpdump会停止

监听通过端口5150的所有tcp包

tcpdump -i any tcp port 5150

红色表明数据的流动

192.168.1.11.49608（客户端）> 192.168.1.198.talarian-tcp(服务器) 数据由客户端发给服务器

1.192.168.1.11向192.168.1.198发送一个syn消息,seq=x

2.192.168.1.198回复192.168.1.11一个syn+ack消息,ack=x+1

3.192.168.1.11向192.168.1.198回复ack

蓝色

1.客户端发送长度为108的数据给服务器。

2.服务器回复一个ack确认已收到数据

flag意义

• [S] 表示这是一个SYN请求
• [S.] 表示这是一个SYN+ACK确认包: 
  
• [.] 表示这是一个ACK确认包， (client)SYN->(server)SYN->(client)ACT 就是3次握手过程
• [P] 表示这个是一个数据推送，可以是从服务器端向客户端推送，也可以从客户端向服务器端推
• [F] 表示这是一个FIN包，是关闭连接操作，client/server都有可能发起
• [R] 表示这是一个RST包，与F包作用相同，但RST表示连接关闭时，仍然有数据未被处理。可以理解为是强制切断连接
• win xxx是指滑动窗口大小
• length xxx指数据包的大小

这个就是tcp可靠的连接，每次通信都需要对方来确认。

tcpdump -i eth0 -vnn dst 192.168.1.11 and src port 5101

抓取目标ip是 192.168.1.11 来源端口是5101的消息包

tcpdump -i eth0 tcp -vnn  dst 192.168.1.11 and ! port 1205

抓取目标ip是 192.168.1.11 且目标端口不是1205的消息包

tcpdump参数相关

转载

http://blog.csdn.net/chencheng126/article/details/44260799

http://blog.csdn.net/runboying/article/details/7166378