$ tcpdump -A -s0 port 80 抓取特定协议的数据 后面可以跟上协议名称来过滤特定协议的流量,以 UDP 为例,可以加上参数 udp 或 protocol 17,这两个命令意思相同。 $ tcpdump -i eth0 udp $ tcpdump -i eth0 proto 17 同理,tcp 与protocol6 意思相同。 抓取特定主机的数据 使用过滤器 host 可以抓取特定...
-s0: tcpdump 默认只会截取前 96 字节的内容,要想截取所有的报文内容,可以使用 -s number, number 就是你要截取的报文字节数,如果是 0 的话,表示截取报文全部内容。 or || 或语句,满足其中一个条件即可 and && 与语句,必须满足其条件 not ! 非语句,不匹配相关条件 -A 以ASCII格式打印出所有分组,并将链...
使用-s参数,指定抓包的包大小。使用-s0指定数据包大小为262144字节,可以使得抓到的数据包不被截断,完整反映数据包的内容。 ❹-c参数。使用-c参数,指定抓包的数量。 ❺-w参数。使用-w参数指定抓包文件保存到文件,以便后续使用Wireshark等工具进行分析。 (二)、学习tcpdump的过滤器 tcpdump提供了丰富的过滤器,...
使用-s参数,指定抓包的包大小。使用-s0指定数据包大小为262144字节,可以使得抓到的数据包不被截断,完整反映数据包的内容。 ❹-c参数。使用-c参数,指定抓包的数量。 ❺-w参数。使用-w参数指定抓包文件保存到文件,以便后续使用Wireshark等工具进行分析。 (二)、学习tcpdump的过滤器 tcpdump提供了丰富的过滤器,...
基础知识常用参数 下面的命令是使用tcpdump时常见的参数。 $ sudo tcpdump -i eth0 -nn -s0 -v port 80 -i:进行抓包的接口,通常是以太网卡或无线适配器,但也可能是vlan或其它东西。 如果只有一个网络适配器,不用指定也行。 -nn:单个 (n) 不会解析主机名。两个 (nn) 不会解析主机名或端口。
tcpdump -s0 -i any host 192.168.1.1 and port 80 -w ./tmp.pcap #在使用&运行在后台时结束抓包,不建议使用kill -9 [pid]杀死后台tcpdump进程,会导致抓包不完整 kill -2 [pid] ### 过滤主机 ### tcpdump -i eth0 host 192.168.1.70 #抓取所有经过 eth0,目的或源地址是 192.168.1.70 的网络数据...
另:有的网站提示在tcpdump中用-s 0命令,例如 tcpdump -i eth1 -c 2000 -s0 -w eth1.cap,可实际运行该命令时系统却提示无效的参数,去掉-s 0参数即可 例子: [root@localhost cdr]#tcpdump -i eth0 -t tcp -s 60000 -w diaoxian.cap
2、防止包截断:tcpdump -s0 3、以数字显示主机及端口:tcpdump -n 第一种是关于类型的关键字,主要包括host,net,port, 例如 host 210.27.48.2,指明 210.27.48.2是一台主机,net 202.0.0.0 指明 202.0.0.0是一个网络地址,port 23 指明端口号是23。如果没有指定类型,缺省的类型是host. ...
使用port参数,用于指定端口号。 命令:tcpdump tcp port 80 使用portrange参数,用于指定端口范围。 命令:tcpdump tcp portrange 1-1024 3. 过滤:指定源与目标 src 表示源。 dst 表示目标。 命令: tcpdump src port 8080 tcpdump dst port 80 4. 过滤:指定特定主机的消息包 使用host指定需要监听的主机。 命令...