lsof和tcpdump常用命令

lsof用法 A.查看端口被谁占用 lsof -i:port，如：lsof -i:80 B.查看tcp监听端口 netstat -lpnt C.查看udp监听端口 netstat -lpnu D.查看本机IP netstat -ie E.lsof高级用法 lsof -i [46][protocol][@hostname|hostaddr][:service|port] 46表示ipv4和ipv6，protocol取值为tcp或udp， hostname主机名，hostaddr为IP地址， service为/etc/service中定义的service名，可以不止一个， port也可以不止一个 示例1：lsof -i4 示例2：lsof -i 4udp@127.0.0.1:7778 更详细细节可以“man lsof”搜索“hostname”。 F.显示开启文件abc.txt的进程 lsof abc.txt G.显示abc进程现在打开的文件 lsof -c abc 显示abc进程现在打开的文件 H.显示目录下被进程开启的文件 lsof +d /usr/local/ I.显示使用fd为4的进程 lsof -d 4 J.以UID，列出打开的文件 lsof -u username K.看进程号为12的进程打开了哪些文件 lsof -p 12 看进程号为12的进程打开了哪些文件 L.反复执行，默认15秒刷新一次 ls -r 死循环执行，直到被信号中断 示例：lsof -i:10888 更改刷新频率为2秒：lsof -i:10888 -r 2 ls +r 死循环执行，直到没有结果，如已没有程序占用端口号10888 示例：lsof -i:10888 +r 2 //////////////////////////////////////////////////////////// tcpdump用法 1.监听指定网卡 tcpdump -i eth1 2.监听指定UDP端口 tcpdump udp port 10888 3.监听指定TCP端口 tcpdump tcp port 80 4.监听A和B或A和C间的通讯 tcpdump host A and \(B or C \) 如：tcpdump host 127.0.0.1 and \(127.0.0.1 or 110.240.110.18 \) 5.监听A的所有通讯，但不包括A和B的 tcpdump ip A and not B 6.监听A发出的所有包 tcpdump -i eth1 src host A 7.监听所有发送到B的包 tcpdump -i eth1 dst host B 8.监听A收到或发出的所有http包 tcpdump tcp port 80 and host A 9.列出tcpdump能够监听的网卡 tcpdump -D 10.监听所有网卡，要求2.2或更高版本内核 tcpdump -i any 11.详细显示捕获的信息 tcpdump -v 更详细可以使用tcpdump -vv和tcpdump -vvv 12.以十六进制和ASCII方式打印包，除了连接层头 tcpdump -v -X 13.以十六进制和ASCII方式打印包，包括连接层头 tcpdump -v -XX 14.限制捕获100个包 tcpdump -c 100 15.将记录写入文件 tcpdump -w filename.log 16.使用IP代替域名 tcpdump -n 17.捕获每个包的100字节而不是默认的68字节 tcpdump -s 500 如果要捕获所有字节则为tcpdump -s 0 18.捕获所有广播或多播包 tcpdump -n "broadcast or multicast" 19.捕获所有icmp和arp包 tcpdump -v "icmp or arp" 20.捕获arp包 tcpdump -v arp 21.捕获目标地址是192.168.0.1，端口是80或443的包 tcpdump -n "dst host 192.168.0.1 and (dst port 80 or dst port 443)" 22.捕获目标端口号在1-1023间的UDP包 tcpdump -n udp dst portrange 1-1023 如果是tcp则改成：tcpdump -n tcp dst portrange 1-1023 23.捕获目标端口号为23的包 tcpdump dst port 23 24.捕获目标网络为192.168.1.0/24的包 tcpdump -n dst net 192.168.1.0/24 25.捕获源网络为192.168.1.0/24的包 tcpdump -n src net 192.168.1.0/24