tcpdump 参数
-i interface 显示特定端口的包
-n 不解析hostname
-nn 不解析hostname和端口
-X 以16进制和ASCII格式显示包的内容
-XX 除了显示-X选项的内容还显示ethernet的头部信息
-c n 仅获取n个包然后停止。
-s 以字节格式显示捕获内容大小的snaplength。
-s0 用来获取所有信息除非你故意捕获不全信息。
-S 显示绝对序列号
-e 获取ethernet header。
-q 显示少的协议信息
-E 解密IPSEC 流量需要一个密钥。
tcpdump -nS 显示基本信息
tcpdump -nnvvS 显示更详细信息
tcpdump -nnvvXSs 1514 显示heavy packet
tcpdump -c2 显示ICMP协议的ping和pong
eg: tcpdump -nnvXSs 0 -c2 icmp
tcpdump host IP 显示指定主机的包。
tcpdump src IP 显示源IP的包。
tcpdump dst IP 显示 目的IP的包。
tcpdump net 1.2.3.0/24 显示整个网络的包。
tcpdump icmp 显示ICMP包
tcpdump port 3389 显示3389端口的包
tcpdump src port 3389
tcpdump dst port 3389
tcpdump src port 1025 and tcp
tcpdump udp and src port 53
tcpdump portrange 21-23
tcpdump less 32 显示小于32个字节包 等于 tcpdump > 32
tcpdump greater 128 显示大于128字节的包 tcpdump <=128
tcpdump -s 1514 port 80 -w capture_file
tcpdump -r capture_file
tcpdunmp -nnvvS and src IP and dst port portnumber
tcpdump -nvX src net 10.10.0.0/24 and dst net 10.0.0.0/8 or 172.0.0.1/16
显示源为10.10.0.0/24网络而且目标网络为10.0.0.0/8 或者为172.0.0.1/16的包。
tcpdump -nvvXSs 1514 dst IP 192.168.0.2 and src net 172.16.0.0/16 and not icmp
tcpdump src 192.168.0.1 and (dst port 3389 or 22)
tcpdump 高级应用
tcpdump 'tcp[13] & 32!=0' 显示URT package
tcpdump 'tcp[13] && 16!=0' 显示ACK package
tcpdump 'tcp[13]& 8!=0' 显示PUSH package
tcpdump ’tcp[13]& 4!=0' RST package
tcpdump 'tcp[13]&2!=0' 显示SYN package
tcpdump 'tcp[13]& 1!=0' 显示 FIN package
tcpdump 'tcp[13]=18‘ 显示SYNACK package
阅读(1066) | 评论(0) | 转发(0) |
