tcpdump:网络嗅探器(需要将网卡设置为混杂模式,promisc)
-i:interface
-w:file(保存至文件)
-r:file(读取文件)
-nn:第一个n表示把地址显示为数字的形式,第二个n表示把协议显示为数字的形式
-X:hex(16进制)以及ASCII格式显示
-XX:除了有-X的作用之外,还会显示链路层首部相关信息
-A:ASCII格式显示
-v:显示详细的信息
-vv:显示更加详细的信息
expression:
关键字:
type:host、net、port、portrange
direction:src、dst、src or dst、src and dst
protocol:ether(以太网)、ip、arp、tcp、udp、icmp、wlan
组合条件:
and
or
not
举例子:
(1)tcpdump -i eth0
(2)tcpdump -i eth0 tcp dst port 80 (-n/-nn)
(3)tcpdump -i eth0 -nn host 172.16.10.1
(4)tcpdump -i eth0 -nn dst host 172.16.10.1
(5)tcpdump -i eth0 -nn src and dst host 172.16.10.1
(6)tcpdump -i eth0 -nn host 172.16.10.1 and 172.16.10.10
(7)tcpdump -i eth0 -nn host 172.16.10.1 and (172.16.10.2 or 172.16.10.10)
(8)tcpdump -i eth0 -A tcp port 80
(9)tcpdump -i eth0 -X tcp port 80
(10)tcpdump -i eth0 -XX tcp port 80
(11)tcpdump -i eth0 -A -v tcp port 80
(12)tcpdump -i eth0 -A -vv tcp port 80
