tcpdump的使用

抓包工具：
tcpdump
#tcpdump [OPTION] [PROTOCOL] [DIRECTION] [HOST(S)] [VALUE] [LOGICAL OPERATIONS] [OTHER EXPRESSION]
[OPTION]
-i NETCARD|any 指定抓包的网卡，any表示所有
-n 不反向解析主机名
-nn 不反解主机名和端口号
-X 以hex和ascii的方式显示报文信息
-XX 和-X类似，同时显示以太网首部
-v -vv -vvv 显示详细信息
-s SNAPLEN 指定截取数据包的长度为SNAPLEN字节，0表示设置为默认的65535字节。
-w FILE 将相关信息写入文件
[PROTOCOL] 协议，不指定表示所有协议
ether 以太网帧
fddi 分布式光纤通道
ip ip协议
arp
rarp
decnet
lat
sca
moprc
mopdl
tcp
udp

[DIRECTION] 流向
src
dst
src and dst
src or dst 默认

[HOST(S)]
net 网段
port 端口
host 主机
portrange 端口范围

[VALUE]
[LOGICAL OPERATIONS]
and or && 且
or or || 或
not or ！ 非
[OTHER EXPRESSION]

例如：
#tcpdump -i eno1677736 -X -nn -vv AND tcp port 110 监听网卡eno16777736上tcp协议的110端口，不反解主机名和端口号，显示报文信息，显示详细信息。

#tcpdump -i eno1677736 -X -nn -vv tcp port 110 and ip src 172.16.100.1 监听网卡eno16777736上tcp协议的110端口,来自172.16.100.1的报文，不反解主机名和端口号，显示报文信息，显示详细信息。

#tcpdump -i eno1677736 -X -s -nn -vv tcp port 995 and ip src 172.16.100.1 -w /root/prot995.info

本文出自 “小私的blog” 博客，请务必保留此出处http://ggvylf.blog.51cto.com/784661/1668743