tcpdump是一个网络抓包工具,在这里简单说下其用法,对常用的参数做说明,后序会不断补充。
一条常见的tcpdump命令如下:
tcpdump -i eth1 -s 0 -A dst host 172.27.129.153 and port 5998
参数说明
1. -i 监听的网卡端口,这里是eth1,关于网卡的信息可以用命令ifconfig查看
2. -s 后边跟一个整数,表示所截获数据包显示的长度,0代表全部显示,如果不写则有一个默认长度
3. -A 将截获的包以ascii方式进行显示,便于阅读
4. 表达式部分。在以上命令是dst host 172.27.129.153 and port 5998,表达式之间可以连接预算符and或者or,以上表示截获数据包的条件是数据包的目标地址是172.27.129.153,端口号是5998; 如果是网段,可以是net 172.27.129.0/24
关于其它参数的说明可以查看tcpdump的帮助文档,我也会在用到的时候在这里继续补充。