抓封包 tcpdump 最常用的用法

1。聽 eth0、host 是 google

tcpdump -i eth0 host 72.14.203.147

2。-n 不作 ip反解析

tcpdump -i eth0 host 72.14.203.147 -n

3。-nn 也不作 port number 又解析

tcpdump -i eth0 host 72.14.203.147 -nn

4。-A 以 ASCII 字元顯示

tcpdump -i eth0 host 72.14.203.147 -n -A

5。-s0 錄下完整封包(預設封包長度是 68 bytes)

tcpdump -i eth0 host 72.14.203.147 -n -A -s0

6。-D 可用的網卡有那裡

7。-c 1000 錄下1000個封包後停止

8。-e 顯示 link layer資訊，如網卡卡號

tcpdump -i eth0 host 72.14.203.147 -n -e

9。-v、-vv、-vvv 顯示較詳細的資訊

10。-x 以 hex 格式顯示

11。-X 以 hex 及ASCII 格式顯示

12。-tt 時間以 timestamp 格式顯示

13。-tttt 時間以 yyyy-mm-dd hh:mm:ss.ms 格式顯示

14。TCP SYN 封包，只會有 SYN 這種

tcpdump -i eth0 'tcp[tcpflags] == 2'

15。開頭是 168.95.1 的 IP 都顯示
tcpdump -i eth0 host 168.95.1

15。開頭是 168.95 的 IP 都顯示
tcpdump -i eth0 host 168.95

16. 網段的話則用
tcpdump -i eth0 net x.x.x.x/24

標籤: tcpdump