TCPDump 是一个命令行网络抓包工具,用于捕获和分析网络流量。以下是一些常用命令和参数:
tcpdump -nn tcp port 8080 and src host 192.168.0.1 -c 10
(1)tcp: ip icmp arp rarp 和 tcp、udp、icmp这些选项等都要放到第一个参数的位置,用来过滤数据报的类型 (2)-i eth1 : 只抓经过接口eth1的包 (3)-t : 不显示时间戳 (4)-s 0 : 抓取数据包时默认抓取长度为68字节。加上-S 0 后可以抓到完整的数据包 (5)-c 10 : 只抓取10个数据包 (6)dst port ! 22 : 不抓取目标端口是22的数据包 (7)src net 192.168.1.0/24 : 数据包的源网络地址为192.168.1.0/24 (8)-w ./cby.cap : 保存成cap文件,方便用ethereal(即wireshark)分析 (9)-v 使用 -v,-vv 和 -vvv 来显示更多的详细信息,通常会显示更多与特定协议相关的信息。 (10)-nn 单个 n 表示不解析域名,直接显示 IP;两个 n 表示不解析域名和端口。 (11)-A 表示使用 ASCII 字符串打印报文的全部数据高级选项
tcpdump -n
禁用主机名解析,直接显示 IP 地址,提升抓包效率。
tcpdump -c 100
仅捕获前 100 个数据包后自动停止。
tcpdump -v
显示更详细的数据包信息(如 TTL、校验和等)。
tcpdump -X
以十六进制和 ASCII 格式显示数据包内容。
监听UDP
tcpdump udp
监听除了与192.168.1.2之外的数据包
tcpdump ip host 192.168.1.60 and ! 192.168.1.4
在HTTP中提取用户头
tcpdump -nn -A -s0 -l | grep "User-Agent:"
User-Agent: Prometheus/2.30.0
User-Agent: Microsoft-Delivery-Optimization/10.0
在HTTP中同时提取用户头和主机信息
tcpdump -nn -A -s0 -l | egrep -i 'User-Agent:|Host:'
Host: 192.168.1.42:9200
User-Agent: Prometheus/2.30.0
HOST: 239.255.255.250:1900
USER-AGENT: Microsoft Edge/97.0.1072.55 Windows
抓取 HTTP POST 请求流量
tcpdump -s 0 -A -vv 'tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x504f5354'
抓取 IPV6
tcpdump ip6 and host :: -c 10
)
)