Chinaunix首页 | 论坛 | 博客
  • 博客访问: 551961
  • 博文数量: 48
  • 博客积分: 1371
  • 博客等级: 中尉
  • 技术积分: 587
  • 用 户 组: 普通用户
  • 注册时间: 2011-10-04 15:32
文章分类

全部博文(48)

文章存档

2013年(5)

2012年(35)

2011年(8)

分类: 系统运维

2011-12-21 11:21:13

[root@stu24 ula]# rpm -qf /usr/sbin/tcpdump 
tcpdump-3.9.4-15.el5
[root@stu24 ula]# rpm -q tcpdump
tcpdump-3.9.4-15.el5

SYNOPSIS
       tcpdump [ -AdDeflLnNOpqRStuUvxX ] [ -c count ]
               [ -C file_size ] [ -F file ]
               [ -i interface ] [ -m module ] [ -M secret ]
               [ -r file ] [ -s snaplen ] [ -T type ] [ -w file
       ]
               [ -W filecount ]
               [ -E spi@ipaddr algo:secret,...  ]
               [ -y datalinktype ] [ -Z user ]
               [ expression ]
c 设定抓多少个包后自动停止
s 指定抓每个包的前多少字节(默认56字节)
w 保存到某个文件
r 读文件
v 显示更详细
n 不显示主机名,显示IP
nn 也把端口显示为数值,否则显示端口服务名
i 指定哪块网卡
host 指定某个主机
port 指定某个端口
net 指定某个网络
tcp 指定抓tcp包
udp 指定抓udp包
ip 指定抓ip包
icmp 指定抓icmp包
src host 指定源主机
dst host 指定目的主机
dst port 指定目的端口
实例 抓164访问本地22端口的包 ,单向的
[root@stu24 ~]# tcpdump -i eth0 -n src host 192.168.0.164 and dst port 22
抓164ping本地的包
[root@stu24 ~]# tcpdump -i eth0 -n icmp and src host 192.168.0.164

当网卡工作于混杂模式里时
[root@stu24 ~]# tcpdump -i eth0 -n dst port 22 or dst port 80 
有可能抓到别人的包
有个包可解决...以后说

两种条件一起抓
[root@stu24 ~]# tcpdump -i eth0 -n 'src host 192.168.0.164 and dst port 22' or 'src host 192.168.0.4 and dst port 80' 二者等价

[root@stu24 ~]# tcpdump -i eth0 -n \(src host 192.168.0.164 and dst port 22\) or \(src host 192.168.0.4 and dst port 80\)

老师笔记
tcpdump -i eth0 
tcpdump -i eth0 -v -n 
                      -v 显示包含有TTL,TOS值等等更详细的信息
      -n不要做IP解析为主机名
     -nn不做名字解析和端口解析
更有针对性的抓包:
针对IP,网段,端口,协议
[root@ ftp]# tcpdump -i eth0 -vnn host 192.168.0.154
[root@ ftp]# tcpdump -i eth0 -vnn net 192.168.0.0/24
[root@ ftp]# tcpdump -i eth0 -vnn port 22 
[root@ ftp]# tcpdump -i eth0 -vnn  udp
[root@ ftp]# tcpdump -i eth0 -vnn icmp
[root@ ftp]# tcpdump -i eth0 -vnn arp
[root@ ftp]# tcpdump -i eth0 -vnn ip

[root@ ftp]# tcpdump -i eth0 -vnn src host 192.168.0.154
[root@ ftp]# tcpdump -i eth0 -vnn dst host 192.168.0.154
[root@ ftp]# tcpdump -i eth0 -vnn src port 22
[root@ ftp]# tcpdump -i eth0 -vnn src host 202.106.0.254 and dst port 22
                 
[root@ ftp]# tcpdump -i eth0 -vnn src host 192.168.0.154 or port 22
[root@ ftp]# tcpdump -i eth0 -vnn src host 192.168.0.154 and not port 22 

[root@ ftp]# tcpdump -i eth0 -vnn \( src host 192.168.0.2 and dst port 22 \) or   \( src host 192.168.0.65 and dst port 80 \)


[root@ ~]# tcpdump -ieth0 -vnn -r  /tmp/fil1 tcp
[root@ ~]# tcpdump -ieth0 -vnn -r  /tmp/fil1 host  202.106.0.258
[root@ ~]# tcpdump -ieth0 -vnn -r  /tmp/fil1 tcp
[root@ ~]# tcpdump -ieth0 -vnn -w  /tmp/fil1 -c 100

[root@ ~]# rpm -qa |grep wireshark
wireshark-gnome-1.0.3-4.el5_2
wireshark-1.0.3-4.el5_2

阅读(3255) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~