tcpdump -h幫助信息
Usage: tcpdump [-aAbdDefhHIJKlLnNOpqRStuUvxX] [ -B size ] [ -c count ]
[ -C file_size ] [ -E algo:secret ] [ -F file ] [ -G seconds ]
[ -i interface ] [ -j tstamptype ] [ -M secret ]
[ -P in|out|inout ]
[ -r file ] [ -s snaplen ] [ -T type ] [ -V file ] [ -w file ]
[ -W filecount ] [ -y datalinktype ] [ -z command ]
[ -Z user ] [ expression ]
常用命令
tcpdump -i eth0 -X -s 0 -w ./target.cap #抓取eth0的報文輸出
tcpdump -i eth0 -s 0 and src net 192.168.1.0/24 -w ./target.cap #抓取eth0上的192.168.1.0/24報文輸出
常用選項介紹
-i 指定監(jiān)聽的網(wǎng)絡接口驯遇。
-s 從每個分組中讀取最開始的snaplen個字節(jié)焙畔,0表示包不截斷谱仪,抓完整的數(shù)據(jù)包玻熙。默認的話 tcpdump 只顯示部分數(shù)據(jù)包,默認68字節(jié)。
-v 輸出一個稍微詳細的信息疯攒,例如在ip包中可以包括ttl和服務類型的信息嗦随。
-vv 輸出詳細的報文信息。
-w 直接將分組寫入文件中敬尺,而不是不分析并打印出來枚尼。
-X 告訴tcpdump命令,需要把協(xié)議頭和包內(nèi)容都原原本本的顯示出來(tcpdump會以16進制和ASCII的形式顯示)砂吞,這在進行協(xié)議分析時是絕對的利器署恍。
