tcpdump命令使用詳解_瘋狂的小企鵝的博客-CSDN博客_tcpdump命令詳解全網(wǎng)最詳細的 tcpdump 使用指南 - 王一白 - 博客園Tcpdump抓包工具實戰(zhàn)教程，讓你知道一個抓包走天下！_嗶哩嗶哩_bilibili

?

一般如下幾種類型的關(guān)鍵字：

關(guān)于數(shù)據(jù)類型的關(guān)鍵字：
包括host、port、net，例如host 192.168.1.1表示這是一臺主機，net 192.168.0.0表示這是一個網(wǎng)絡(luò)地址，port 22指明端口號是22，如果沒有指明類型，則默認的類型是host

數(shù)據(jù)傳輸方向的關(guān)鍵字：

包括src、dst、dst or src、dst and src，這些關(guān)鍵字指明了傳輸?shù)姆较?#xff0c;比如src 192.168.1.1說明數(shù)據(jù)包源地址是192.168.1.1，dst net 192.168.0.0指明目的網(wǎng)絡(luò)地址是192.168.0.0，默認是監(jiān)控主機對主機的src和dst，即默認監(jiān)聽本機和目標主機的所有數(shù)據(jù)

協(xié)議關(guān)鍵字：

包括ip、arp、rarp、tcp、udp等，

其他關(guān)鍵字：
運算類型的：or、and、not、!
輔助功能型的：gateway、less、broadcast、greater
?

上面有完整的使用方法，下面節(jié)選部分常用的

tcpdump -i eth0 監(jiān)聽指定網(wǎng)卡eth0的所有傳輸數(shù)據(jù)包 ，? ? 多張網(wǎng)卡時必須指定哪張

tcpdump host 192.168.56.209 and ( 192.168.56.210 or 192.168.56.211 ) #捕獲主機 192.168.56.209 和主機192.168.56.210或192.168.56.211的所有通信數(shù)據(jù)包（也可以是主機名，但要求可以解析出來IP地址）

tcpdump ip host node9 and ! www.baidu.com #捕獲node9與其他所有主機的通信數(shù)據(jù)包（不包括www.baidu.com）

tcpdump -i eth0 src node10 #捕獲源主機node10發(fā)送的所有的經(jīng)過eth0網(wǎng)卡的所有數(shù)據(jù)包

• -nn：不把協(xié)議和端口號轉(zhuǎn)化成名字，速度也會快很多。

tcpdump icmp -w icmp.pcap??使用?-w?是寫入數(shù)據(jù)到文件，而使用?-r?是從文件中讀取數(shù)據(jù)。

tcpdump -vvAls0 | grep 'POST'? ?抓取 HTTP POST 請求包

tcpdump -nn -A -s1500 -l | egrep -i 'User-Agent:|Host:'? ? ?從 HTTP 請求頭中提取User-Agent 和主機名

tcpdump 'tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)'? ? ?抓取 80 端口的 HTTP 有效數(shù)據(jù)包，排除 TCP 連接建立過程的數(shù)據(jù)包（SYN / FIN / ACK）

tcp協(xié)議報文頭?

通常?Wireshark（或 tshark）比 tcpdump 更容易分析應(yīng)用層協(xié)議。一般的做法是在遠程服務(wù)器上先使用?tcpdump?抓取數(shù)據(jù)并寫入文件，然后再將文件拷貝到本地工作站上用?Wireshark?分析。

【網(wǎng)絡(luò)安全常用工具】Wireshark抓包工具使用技巧，從入門到精通！Wireshark安裝|Wireshark抓包|Wireshark工具使用|_嗶哩嗶哩_bilibili

總結(jié)

以上是生活随笔為你收集整理的tcpdump命令使用详解的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。