TCPdump抓包

[[email protected] ~]#yum install tcpdump -y

[[email protected] ~]# tcpdump -i ens37      #抓取網卡ens37的所有資料包

[[email protected] ~]# tcpdump -i ens37 -n      #加參數-n是不顯示域名，以ip位址顯示

[[email protected] ~]# tcpdump -i ens37 -nn      #加參數-nn是不顯示域名和應用名，以ip位址和端口号顯示

[[email protected] ~]# tcpdump -i ens37 -nn -v      #加參數-v 能顯示出包括協定的其他詳細資訊

[[email protected] ~]# tcpdump -i ens37 -nn -v -P in      # -P（in|out|inout）表示資料包方向

[[email protected] ~]# tcpdump -i ens37 -nn -v -P in -w /root/Desktop/1.cap       #-w将資料包寫入檔案，然後用抓包工具打開分

-----------進階用法（過濾參數，詳細參考man pcap-filter）

過濾參數包括：

類型：host 、net 、port 、portrange

流量方向：src 、dst 、src or dst 、src and dst 、ra 、ta

協定：ether 、fddi 、ip 、ip6 、wlan 、arp 、rarp 、tcp 、udp 、icmp

#抓取進入本機ens37網卡的10-400端口資料，或者是445端口的資料：

[[email protected] ~]# tcpdump -i ens37 -nn -P in portrange 10-400 or port 445

#抓取目的ip為172.16.40.1且協定為icmp的資料包

[[email protected] ~]# tcpdump -i ens37 -nn ’ icmp && dst host 172.16.40.1 ’

TCPdump抓包

#抓取目的網段為172.16.40.0/24的arp封包

[[email protected] ~]# tcpdump -i ens37 -nn ’ arp && dst net 172.16.40.0/24 ’

#抓取目的位址為172.16.40.40且非22和111端口的tcp封包

[[email protected] ~]# tcpdump -i ens37 -nn ’ port ! 22 && port ! 111 tcp && dst net 172.16.40.40 ’

#抓取源位址為172.16.40.1目的位址為172.16.40.40目的端口為22的tcp封包

[[email protected] ~]# tcpdump -i ens37 -nn 'tcp && src host 172.16.40.1 && dst host 172.16.40.40 && dst port 22 ’

詳細參考man pcap-filter