"Linux下tcpdump命令详解及实用实例分享"

hot或者与sundown之间的所有通信tcpdump host helios and \( hot or sundown \)监视指定网段的数据包监视指定网段的数据包tcpdump net 210.27.48.0/24监视指定端口的数据包监视指定端口的数据包tcpdump port 80 显示IP地址和端口号 tcpdump -n 显示IP地址 tcpdump -nn 显示端口号 tcpdump -nnn 过滤数据包 只抓取tcp连接的包 tcpdump tcp 只抓取目的端口是80的http包 tcpdump dst port 80 不抓取端口是22的数据包 tcpdump not port 22 只抓取源地址是192.168.1.1的数据包 tcpdump src host 192.168.1.1 只抓取目的地址是192.168.1.1的数据包 tcpdump dst host 192.168.1.1 只抓取源端口不是80的数据包 tcpdump src port not 80 只抓取目的端口不是80的tcp包 tcpdump tcp and not port 80 只抓取主机192.168.1.1和192.168.1.2之间的包 tcpdump src host 192.168.1.1 and dst host 192.168.1.2 只抓取主机192.168.1.1和192.168.1.2之间的80端口的包 tcpdump src host 192.168.1.1 and dst host 192.168.1.2 and port 80 只抓取大于1k的数据包 tcpdump greater 1k 只抓取小于1k的数据包 tcpdump less 1k 只抓取等于1k的数据包 tcpdump <= 1k 只抓取同时满足src和dst条件的数据包 tcpdump src host 192.168.1.1 and dst host 192.168.1.2 只抓取源或目的地址为192.168.1.1，并且目的或源端口为80的包 tcpdump \( src host 192.168.1.1 or dst host 192.168.1.1 \) and \( src port 80 or dst port 80 \) 只显示前N个数据包 tcpdump -c 10 将抓到的包保存到文件 tcpdump -w file 从文件中读取数据包进行分析 tcpdump -r file 同时监视多个网络接口 tcpdump -i any 查看tcpdump的一些选项 tcpdump -D 常用过滤表达式 过滤方向 dst：数据包目的地址 src：数据包源地址 in：数据包流入指定接口 out：数据包流出指定接口 过滤协议 ether：数据链路层协议类型 arp：地址解析协议 rarp：逆地址解析协议 ip：IP协议 tcp：TCP协议 udp：UDP协议 icmp：ICMP协议 过滤主机和网络 host：指定主机 net：指定网络 过滤端口 port：指定端口 常用操作符 and：与 or：或 not：非 实例解析 1、监视网络中所有的http数据包 tcpdump tcp port 80 -i any 2、监视包的流向 tcpdump -i eth0 src 192.168.1.1 tcpdump -i eth0 dst 192.168.1.1 3、将数据包输出到文件 tcpdump -i eth0 -w output.cap 4、从文件中读取数据包 tcpdump -r input.cap 5、过滤特定主机的数据包 tcpdump host 192.168.1.1 6、只显示前5个数据包 tcpdump -c 5 7、监视两个网络接口 tcpdump -i eth0 -i eth1 8、监视指定网段的数据包 tcpdump net 192.168.0.0/16 9、过滤数据包大小 tcpdump greater 100 10、同时满足多个条件的数据包 tcpdump src host 192.168.1.1 and tcp and port 80 总结 tcpdump是一个非常强大的网络流量抓包分析工具，具有丰富的过滤功能，可以帮助用户准确定位需要分析的数据包，对网络问题的排查非常有帮助。通过本文对tcpdump命令的解析及使用详解，希望能对大家有所帮助。".