[root@stu24 ula]# rpm -qf /usr/sbin/tcpdump
tcpdump-3.9.4-15.el5
[root@stu24 ula]# rpm -q tcpdump
tcpdump-3.9.4-15.el5
SYNOPSIS
tcpdump [ -AdDeflLnNOpqRStuUvxX ] [ -c count ]
[ -C file_size ] [ -F file ]
[ -i interface ] [ -m module ] [ -M secret ]
[ -r file ] [ -s snaplen ] [ -T type ] [ -w file
]
[ -W filecount ]
[ -E spi@ipaddr algo:secret,... ]
[ -y datalinktype ] [ -Z user ]
[ expression ]
c 设定抓多少个包后自动停止
s 指定抓每个包的前多少字节(默认56字节)
w 保存到某个文件
r 读文件
v 显示更详细
n 不显示主机名,显示IP
nn 也把端口显示为数值,否则显示端口服务名
i 指定哪块网卡
host 指定某个主机
port 指定某个端口
net 指定某个网络
tcp 指定抓tcp包
udp 指定抓udp包
ip 指定抓ip包
icmp 指定抓icmp包
src host 指定源主机
dst host 指定目的主机
dst port 指定目的端口
实例 抓164访问本地22端口的包 ,单向的
[root@stu24 ~]# tcpdump -i eth0 -n src host 192.168.0.164 and dst port 22
抓164ping本地的包
[root@stu24 ~]# tcpdump -i eth0 -n icmp and src host 192.168.0.164
当网卡工作于混杂模式里时
[root@stu24 ~]# tcpdump -i eth0 -n dst port 22 or dst port 80
有可能抓到别人的包
有个包可解决...以后说
两种条件一起抓
[root@stu24 ~]# tcpdump -i eth0 -n 'src host 192.168.0.164 and dst port 22' or 'src host 192.168.0.4 and dst port 80' 二者等价
[root@stu24 ~]# tcpdump -i eth0 -n \(src host 192.168.0.164 and dst port 22\) or \(src host 192.168.0.4 and dst port 80\)
老师笔记
tcpdump -i eth0
tcpdump -i eth0 -v -n
-v 显示包含有TTL,TOS值等等更详细的信息
-n不要做IP解析为主机名
-nn不做名字解析和端口解析
更有针对性的抓包:
针对IP,网段,端口,协议
[root@ ftp]# tcpdump -i eth0 -vnn host 192.168.0.154
[root@ ftp]# tcpdump -i eth0 -vnn net 192.168.0.0/24
[root@ ftp]# tcpdump -i eth0 -vnn port 22
[root@ ftp]# tcpdump -i eth0 -vnn udp
[root@ ftp]# tcpdump -i eth0 -vnn icmp
[root@ ftp]# tcpdump -i eth0 -vnn arp
[root@ ftp]# tcpdump -i eth0 -vnn ip
[root@ ftp]# tcpdump -i eth0 -vnn src host 192.168.0.154
[root@ ftp]# tcpdump -i eth0 -vnn dst host 192.168.0.154
[root@ ftp]# tcpdump -i eth0 -vnn src port 22
[root@ ftp]# tcpdump -i eth0 -vnn src host 202.106.0.254 and dst port 22
[root@ ftp]# tcpdump -i eth0 -vnn src host 192.168.0.154 or port 22
[root@ ftp]# tcpdump -i eth0 -vnn src host 192.168.0.154 and not port 22
[root@ ftp]# tcpdump -i eth0 -vnn \( src host 192.168.0.2 and dst port 22 \) or \( src host 192.168.0.65 and dst port 80 \)
[root@ ~]# tcpdump -ieth0 -vnn -r /tmp/fil1 tcp
[root@ ~]# tcpdump -ieth0 -vnn -r /tmp/fil1 host 202.106.0.258
[root@ ~]# tcpdump -ieth0 -vnn -r /tmp/fil1 tcp
[root@ ~]# tcpdump -ieth0 -vnn -w /tmp/fil1 -c 100
[root@ ~]# rpm -qa |grep wireshark
wireshark-gnome-1.0.3-4.el5_2
wireshark-1.0.3-4.el5_2
阅读(3255) | 评论(0) | 转发(0) |