使用tcpdump抓包

1, tcpdump常用选项介绍

-n 禁止IP名称解析 -nn 禁止IP和端口名称解析 -i 指定捕获哪个网卡的网络数据包。 -w 指定将包写入哪个文件，如果文件不存在则创建该文件；如果存在则覆盖其内容 -f 指定过滤表达式，例如指定捕获哪个端口，哪个协议等 -r 指定从哪个文件读取网络数据包文件 -F 指定使用哪个文件的过滤表达式抓包 -D 列出所有可以使用tcpdump抓包的网卡 -c 指定捕获或者读取包的个数，-c后面直接接数字即可 -l 抓包时保存到文件的同时查看包的内容 -t 不打印时间戳 -tt 秒级时间戳 -ttt 打印时间戳到微秒或者纳秒，取决于 –time-stamp-precision option 选项 -s 指定每个包捕获的字节数 -S 打印绝对的tcp序列号，而不是相对的序列号 -v/-vv/-vvv 打印详细信息，v的个数越多， 打印内容越详细

上面是常用的选项, 更多的选项请参考tcpdump官方文档, 下面将对使用过滤条件抓包进行基本的介绍

2, tcpdump常用命令

#协议为tcp, 目标端口或源端口为80的包, 并将其写入packets.pcap文件中

tcpdump -nni ens33 -w packets.pcap 'tcp port 80'

#协议为tcp, 目标端口为80

tcpdump -nni ens33 -w packets.pcap 'tcp dst port 80' -c10

#协议类型为tcp, 源端口为80

tcpdump -nni ens33 -w packets.pcap 'tcp src port 80' -c10

#读取文件中协议类型为tcp, 目标端口为80的包

tcpdump -nnr packets.pcap 'tcp dst port 80' -c10

#将packets.pcap文件中目标端口为443的包转存到dst_port_443.pcap中

tcpdump -r packets.pcap 'dst port 443' -w dst_port_443.pcap

#指定IP地址为14.215.177.39

tcpdump -nni ens33 host 14.215.177.39 -c5

#源IP地址为192.168.248.134

tcpdump -nni ens33 src 192.168.248.134 -c5

#目标IP地址为192.168.248.134

tcpdump -nni ens33 dst 192.168.248.134 -c5

#通往网络192.168.248.0/24

tcpdump -nni ens33 net 192.168.248.0/24 -c5