说明:监视eth0网卡上目的地址是210.27.48.3的所有网络包 命令:tcpdump tcp port 23 and host 210.27.48.3 说明:获取主机210.27.48.3上端口为23的应用发出和接收的所有TCP协议包 命令:tcpdump udp port 123 说明:获取本机123端口发出和接收的所有UDP协议包 为了便于分析,我们需要将抓到的包保存到pcap文件,用Wiresh...
or 例子:抓取 UDP 53 端口或者 TCP 53 端口的包(DNS协议的报文):tcpdump tcp port 53 or udp port 53 not 例子:抓取不是 22 端口的报文:tcpdump not tcp port 22 多个过滤器进行组合:需要用到括号,而括号在 shell 中是特殊符号,因此你需要使用引号将其包含:tcpdump "src 10.0.2.4 and (dst port 3389...
例如,"src foo"表示源主机为foo的数据包,"dst net 128.3"表示目标网络为128.3的数据包,"src or dst port 22"表示源或目的端口为22的数据包。 (3).proto:通过给定协议限定匹配的数据包类型。 常用的协议有tcp/udp/arp/ip/ether/icmp等,若未给定协议类型,则匹配所有可能的类型。例如"tcp port 21","udp po...
例如, `ether src foo', `arp net 128.3', `tcp port 21', `udp portrange 7000-7009'分别表示 '从以太网地址foo 来的数据包','发往或来自128.3网络的arp协议数据包', '发送或接收端口为21的tcp协议数据包', '发送或接收端口范围为7000-7009的udp协议数据包'. 如果不指定proto 修饰符, 则默认为与相...
tcpdump tcp port23and host192.168.1.120 对本机的udp 123 端口进行监视 123 为ntp的服务端口 tcpdump udpport123 五、监视指定网络的数据包 打印本地主机与Berkeley网络上的主机之间的所有通信数据包(nt: ucb-ether, 此处可理解为'Berkeley网络'的网络地址,此表达式最原始的含义可表达为: 打印网络地址为ucb-eth...
常用的协议有tcp/udp/arp/ip/ether/icmp等,若未给定协议类型,则匹配所有可能的类型。例如"tcp port 21","udp portrange 7000-7009"。 所以,一个基本的表达式单元格式为"proto dir type ID" 除了使用修饰符和ID组成的表达式单元,还有关键字表达式单元:gateway,broadcast,less,greater以及算术表达式。
$ tcpdump -A -s0 port 80 抓取特定协议的数据 后面可以跟上协议名称来过滤特定协议的流量,以 UDP 为例,可以加上参数 udp 或protocol 17,这两个命令意思相同。 $ tcpdump -i eth0 udp $ tcpdump -i eth0 proto 17 同理,tcp 与protocol 6意思相同。
常用的协议有tcp/udp/arp/ip/ether/icmp等,若未给定协议类型,则匹配所有可能的类型。例如"tcp port 21","udp portrange 7000-7009"。 所以,一个基本的表达式单元格式为"proto dir type ID" 除了使用修饰符和ID组成的表达式单元,还有关键字表达式单元:gateway,broadcast,less,greater以及算术表达式。
常用的协议有tcp/udp/arp/ip/ether/icmp等,若未给定协议类型,则匹配所有可能的类型。例如"tcp port 21","udp portrange 7000-7009"。 所以,一个基本的表达式单元格式为"proto dir type ID" 除了使用修饰符和ID组成的表达式单元,还有关键字表达式单元:gateway,broadcast,less,greater以及算术表达式。
If we want to filter ports we would use something like : # tcpdump -i eth1 udp dst port 53 ICMP header --- See different ICMP messages : http://img292./my.php?image=icmpmm6.gif We will usually filter the type (1 byte) and code (1 byte) of the ICMP messages. Here are commo...