Linux tcpdump 命令详解 目录(?) [-] 1简介 2有用命令实例 3输出信息含义 3链路层头 3TCP 数据包 3UDP 数据包 3SMBCIFS 解码 3AFS 请求和回应 3KIP AppleTalk 协议 3IP 数据包破裂 3时间戳 4命令使用 4tcpdump 的简单项选择项介绍 4tcpdump 条件表达式 5附录 tcpdump 的表达元 简介用简单的话来定义 tcpdump,就是:dump the traffic on a network,根据使用者的定义对网络上的数据包进行截获的包分析工具。 tcpdump 可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供 and、or、not 等 逻辑语句来帮助你去掉无用的信息。有用命令实例默认启动tcpdump普通情况下,直接启动 tcpdump 将监视第一个网络接口上所有流过的数据包。监视指定网络接口的数据包tcpdump -i eth1假如不指定网卡,默认 tcpdump 只会监视第一个网络接口,一般是 eth0,下面的例子都没有指定网络接口。 监视指定主机的数据包打印所有进入或离开 sundown 的数据包.tcpdump host sundown也可以指定 ip,例如截获所有 210.27.48.1 的主机收到的和发出的所有的数据包tcpdump host 210.27.48.1打印 helios 与 hot 或者与 ace 之间通信的数据包tcpdump host helios and \( hot or ace \)截获主机 210.27.48.1 和主机 210.27.48.2 或 210.27.48.3 的通信tcpdump host 210.27.48.1 and \ (210.27.48.2 or 210.27.48.3 \)打印 ace 与任何其他主机之间通信的 IP 数据包, 但不包括与 helios 之间的数据包.tcpdump ip host ace and not helios假如想要猎取主机 210.27.48.1 除了和主机 210.27.48.2 之外所有主机通信的ip 包,使用命令:tcpdump ip host 210.27.48.1 and ! 210.27.48.2截获主机 hostname 发送的所有数据tcpdump -i eth0 src host hostname监视所有送到主机 hostname 的数据包tcpdump -i eth0 dst host hostname监视指定主机和端口的数据包假如想要猎取主机 210.27.48.1 接收或发出的 telnet 包,使用如下命令tcpdump tcp port 23 host 210.27.48.1对本机的 udp 123 端口进行监视 123 为 ntp 的服务端口tcpdump udp port 123监视指定网络的数据包打印本地主机与 Berkeley 网络上的主机之间的所有通信数据包(nt: ucb-ether, 此处可理解为'Berkeley 网络'的...
