下载安装包

http://www.tcpdump.orghttps://www.cndba.cn/QYwang/article/131422https://www.cndba.cn/QYwang/article/131422

libpcap-1.8.1.tar.gz
tcpdump-4.9.0.tar.gz

tar -zxvf
tar -xfhttps://www.cndba.cn/QYwang/article/131422

常用参数选项说明：

-a 将网络地址和广播地址转变成名字
-c 在收到指定的包的数目后，tcpdump就会停止；
-d 将匹配信息包的代码以人们能够理解的汇编格式给出；以可阅读的格式输出。
-dd 将匹配信息包的代码以c语言程序段的格式给出；
-ddd 将匹配信息包的代码以十进制的形式给出；
-e 在输出行打印出数据链路层的头部信息；
-f 将外部的Internet地址以数字的形式打印出来；
-l 使标准输出变为缓冲行形式；
-n 直接显示IP地址，不显示名称；
-nn 端口名称显示为数字形式，不显示名称；
-t 在输出的每一行不打印时间戳；
-v 输出一个稍微详细的信息，例如在ip包中可以包括ttl和服务类型的信息；
-vv 输出详细的报文信息；
-F 从指定的文件中读取表达式,忽略其它的表达式；
-i 指定监听的网络接口；
-r 从指定的文件中读取包(这些包一般通过-w选项产生)；
-w 直接将包写入文件中，并不分析和打印出来；
-T 将监听到的包直接解释为指定的类型的报文，常见的类型有rpc （远程过程调用）和snmp（简单 网络管理协议；）
示例 tcpdump -i any -vvn -c 100 -w test.caphttps://www.cndba.cn/QYwang/article/131422

条件过滤

**示例 tcpdump tcp port 80 src host 192.168.100.1 less 1000

协议

ip,ip6,tcp,udp,icmp等https://www.cndba.cn/QYwang/article/131422

端口

port 80https://www.cndba.cn/QYwang/article/131422https://www.cndba.cn/QYwang/article/131422

源和目的

src表示源 dst表示目的

主机

host 192.168.1.1https://www.cndba.cn/QYwang/article/131422

数据包大小

greater（大于）与less（小于）

逻辑表达式

and 逻辑与
or 逻辑或
not 逻辑非
！逻辑非
逻辑非关系，使用not，也可以使用 !
若使用 ! 必须与其后面的字符隔开一个空格

括号
括号需要使用在引号内，或转意使用。否则会报错。https://www.cndba.cn/QYwang/article/131422

**示例 tcpdump -i any -vnn “(src host 191.168.1.1 and dst host 172.30.12.36)” or “(dst host 191.168.1.1 and src host 172.30.12.36)” -c 100

版权声明：本文为博主原创文章，未经博主允许不得转载。

tcpdump 抓包 网络分析