linux 抓包 tcpdump 简单应用

在linuxserver上，常常要定位网络问题，就须要用到抓包。

比如:tcpdump -X -s 0 host 10.17.81.22 and port 9999 -w /home/text.cap -i eth4

上面的意思是抓取和 10.17.81.22 server port9999进行通讯的全部(-X)不大小限制(-s 0)的网络包。并输出到文件 text.cap ，抓取网卡eth4.

tcpdump採用命令行方式，它的命令格式为：

　　tcpdump [ -adeflnNOpqStvx ] [ -c 数量 ] [ -F 文件名称 ]

　　　　　　　　　　[ -i 网络接口 ] [ -r 文件名称] [ -s snaplen ]

　　　　　　　　　　[ -T 类型 ] [ -w 文件名称 ] [表达式 ]

tcpdump的选项介绍:

-a 　　　将网络地址和广播地址转变成名字；

-d 　　　将匹配信息包的代码以人们可以理解的汇编格式给出；

-dd 　　　将匹配信息包的代码以c语言程序段的格式给出；

-ddd 　　　将匹配信息包的代码以十进制的形式给出；

-e 　　　在输出行打印出数据链路层的头部信息；

-f 　　　将外部的Internet地址以数字的形式打印出来；

-l 　　　使标准输出变为缓冲行形式；

-n 　　　不把网络地址转换成名字。

-t 　　　在输出的每一行不打印时间戳。

-v 　　　输出一个略微具体的信息，比如在ip包中能够包含ttl和服务类型的信息。

-vv 　　　输出具体的报文信息；

-c 　　　在收到指定的包的数目后。tcpdump就会停止。

-F 　　　从指定的文件里读取表达式,忽略其他的表达式；

-i 　　　指定监听的网络接口；

-r 　　　从指定的文件里读取包(这些包一般通过-w选项产生)；

-w 　　　直接将包写入文件里。并不分析和打印出来；

-T 　　　将监听到的包直接解释为指定的类型的报文，常见的类型有rpc （远程过程 调用）和snmp（简单　　　　　　　网络管理协议。）



-s 设置抓包限制大小。默认抓包限制大小在96个BYTE（包含以太网帧）。

改动參数为：-s 0。0 则忽略包的限制大小。按包的长度实际长度抓取。

更加深入的应用就靠大家多动手咯!记得前面说的man命令么！

man tcpdump!

linux:~ # man tcpdump
TCPDUMP(1)                                                                                                                                               TCPDUMP(1)

NAME
       tcpdump - dump traffic on a network

SYNOPSIS
       tcpdump [ -AdDeflLnNOpqRStuUvxX ] [ -c count ]
               [ -C file_size ] [ -F file ]
               [ -i interface ] [ -m module ] [ -M secret ]
               [ -r file ] [ -s snaplen ] [ -T type ] [ -w file ]
               [ -W filecount ]
               [ -E spi@ipaddr algo:secret,...  ]
               [ -y datalinktype ] [ -Z user ]
               [ expression ]

介绍有点多。

。。