簡介
tcpdump是一個命令行數(shù)據(jù)包分析、抓取工具
可以使用 -D 標志來列出可用于捕獲的接口
$ tcpdump -D
1.virbr0
2.docker0
3.vethdb0f731
4.nflog (Linux netfilter log (NFLOG) interface)
5.nfqueue (Linux netfilter queue (NFQUEUE) interface)
6.usbmon1 (USB bus number 1)
7.enp2s0
8.usbmon2 (USB bus number 2)
9.enp3s0
可以使用 -i 標志指定要捕獲的接口寇漫,指定 any 作為接口將從所有活動接口捕獲
$ tcpdump -i any
$ tcpdump -i eth1
可以使用 -v 標志來調(diào)整tcpdump輸出中的詳細程度
$ tcpdump -i any -v (Verbose output)
$ tcpdump -i any -vv (Even more verbose output)
$ tcpdump -i any -vvv (The most verbose output)
協(xié)議過濾器
可以根據(jù)協(xié)議過濾捕獲流量。例如谐鼎,偵聽所有TCP連接
$ tcpdump tcp
端口過濾器
如果只對特定端口的流量感興趣佛致,則可以使用端口過濾器來確定分析
tcpdump port 80
將端口80作為其源端口或目標端口的流量,則可以使用
$ tcpdump src port 80
$ tcpdump dest port 80
主機過濾器
如果只對特定主機的流量感興趣惜浅,則可以使用主機過濾器。主機過濾器還可以與源或目的過濾器組合伏嗜。
$ tcpdump host 1.2.3.4
$ tcpdump src host 1.2.3.4
$ tcpdump dst host 1.2.3.4
組合濾波器
可以在tcpdump中組合多個過濾器
$ tcpdump "src port 80" and "dst host 1.2.3.4"
$ tcpdump "src port 80" or "src port 443"
保存輸出
可以使用 -w 將捕獲的數(shù)據(jù)包保存到文件中
$ tcpdump tcp -w FILE_PATH
如果需要既保存又打印坛悉,可以將 --print 與 -w 結(jié)合使用
$ tcpdump tcp -w FILE_PATH --print
擴展
更多內(nèi)容可參考tcpdump手冊
