数据抓包神器 Tcpdump 入坑指南

在工作和学习中，我们常用的抓包工具是Wireshark。除此之外，还有很多优秀的工具如tcpdump。本文，我们一起来学习它的使用吧！

关于

tcpdump是一个运行在命令行下的抓包工具。它允许用户拦截和显示发送或收到过网络连接到该计算机的TCP/IP和其他数据包。在路由器和其他Linux中，我们可以方便的进行安装。当然抓到包后，我们可以配合Wireshark进行数据分析。

安装

在kali中已经默认安装，其他系统我们可以用下面命令进行安装。

apt-get install tcpdump

常用参数说明

抓包参数

• -c : 指定要抓取的包数量。
• -i : 指定抓包的网卡，默认为第一个。
• -P: 指定要抓取的包是流入还是流出的包。可以给定的值为"in"、"out"和"inout"，默认为"inout"。
• -e：输出的每行中都将包括数据链路层头部信息，例如源MAC和目标MAC。
• -v：当分析和打印的时候，产生详细的输出。除此之外还有(-vv -vvv)
• -w：将抓包数据输出到文件(pacp格式)。

示例

保存指定域名的数据包

tcpdump -i eth0 host blog.bbskali.cn -nn  -w https.pacp

对保存的https.pacp数据包，我们可以进行分析！

监视指定网络接口的数据包

tcpdump -i eth0

抓取到本机22端口包

tcpdump -c 10 -nn -i eth0 tcp dst port 22