tcpdump -i any host ..是指定地址抓包,
如果要存文件就是tcpdump -i any host ... -w test.pcap
抓接口也是-i br-lan是所有lan口
知道具体接口可以用lan0 lan1
也可以抓协议 比如icmp
tcpdump -i any host 192.168.2.1 icmp
指定端口 port 80
以下是关于
tcpdump 的一些常用命令和参数的整理,帮助你更好地理解和使用 tcpdump 进行网络抓包。基本命令格式
常用选项
i <接口>:指定要抓包的网络接口。例如:i any:抓取所有网络接口上的数据包。i eth0:只抓取eth0接口上的数据包。i br-lan:抓取br-lan接口上的数据包。i lan0:抓取lan0接口上的数据包。
w <文件名>:将捕获的数据包保存到指定的文件中,而不是直接输出到终端。例如:
r <文件名>:从指定的文件中读取数据包,而不是实时捕获。例如:
n:不解析主机名,直接显示IP地址。例如:
nn:不解析主机名和端口号,直接显示IP地址和端口号。例如:
c <数量>:指定捕获的数据包数量。例如:
B <大小>:设置内核缓冲区的大小(单位为KB)。例如:
常用过滤条件
host <IP地址>:指定捕获来自或到指定IP地址的数据包。例如:
net <网络地址>:指定捕获来自或到指定网络的数据包。例如:
port <端口号>:指定捕获指定端口号的数据包。例如:
proto <协议>:指定捕获指定协议的数据包。例如:
组合使用
- 捕获指定IP地址的数据包并保存到文件:
- 捕获指定IP地址和协议的数据包:
- 捕获指定端口的数据包:
- 捕获指定IP地址和端口的数据包:
- 捕获指定网络和协议的数据包:
示例
- 捕获所有接口上来自或到 192.168.2.1 的数据包并保存到文件:
- 捕获所有接口上来自或到 192.168.2.1 的 ICMP 数据包:
- 捕获所有接口上端口为 80 的数据包:
- 捕获所有接口上来自或到 192.168.2.1 的端口为 80 的数据包:
- 捕获所有接口上来自或到 192.168.2.1 的 TCP 数据包:
注意事项
- 权限问题:运行
tcpdump通常需要root权限。
- 性能问题:捕获大量数据包可能会对系统性能产生影响,特别是在高流量的网络环境中。
- 文件大小:捕获的数据包文件可能会变得很大,建议定期清理或使用
c选项限制捕获的数据包数量。
希望这些信息对你有帮助!如果你有其他问题或需要进一步的示例,请随时告诉我。
