HUGOMORE42
tcpdump 是 UNIX 平台下的一款常用抓包工具。

基本介绍

常用参数：

• -n 直接显示IP端，而不是域名和服务名
• -X 同时用 hex 和 ascii 显示报文的内容
• -S 显示绝对的序列号（sequence number），而不是相对编号
• -s number 截取多少字节的内容，默认 96 个字节，可指定 0 表示全部
• -i 指定要监听的网卡， any 监听所有的网卡
• -v, -vv, -vvv 显示更多的详细信息
• -c number 截取 number 个报文，然后结束
• -A 只使用 ascii 打印报文，与 -X 互斥。
• -e 打印数据链路层的头信息
• -w filename 将内容输出给指定文件
• -r filename 从指定文件中读取数据内容

过滤器

可使用过滤器筛选出我们需要关注的网络数据。

常用过滤器：

• host 指定主机： tcpdump host 192.168.1.9
• src,dst 指定源地址或目标地址： tcpdump src 192.168.1.9
• net 指定网段： tcpdump net 1.2.3.0/24
• port 指定端口： tcpdump port 80
• portrange 指定端口范围： tcpdump portrange 8000-8088
• proto 指定协议： tcp,udp,icmp