[na]tcpdump参数应用参考

详细参数参考,我记得之前有个ppt关于这个写的不错.

说实话,这玩意用的时候直接gg了.

常用应用:
    过滤物理口
    过滤某个port/ip/mac
    过滤协议
    显示ip/mac/port不解析等

一 tcpdump常用重要参数

-i 　　 指定监听的网络接口；
-e 　　在输出行打印出数据链路层的头部信息；
-c 　　截取指定数目的数据包；
-n 　　不把网络地址转换成名字；
-nn 不把端口和网络地址转换成名称;
-x 将截取的数据包内容以十六进制打印出来；
-X 　　将截取的数据包内容以ASCII文本形式打印出来；
-s 　　截取指定大小的数据包，s0表示完整数据包；
-w 　　将抓包内容保存到指定到文件,并不打印出来;
-a 　　将网络地址和广播地址转变成名字；
-t 　　 在输出的每一行不打印时间戳；
-v 　　输出一个稍微详细的信息，如在ip包中包括ttl和服务类型的信息；
-vv 　 输出详细的报文信息；
-F 　　从指定的文件中读取表达式,忽略其它的表达式；
-r 　　 从指定的文件中读取包(这些包一般通过-w选项产生)；

二 实际应用

注:以下可以把tcpdump_dp改为tcpdump(_dp是私有的命令)

1,抓mac地址为xxx的包:

tcpdump_dp -i eth5 ether host :DF:6A:F4:: –nne

-e显示mac地址

2,抓源mac为xxx的包,10个

tcpdump_dp -i eth5 udp and ether src :DF:6A:F4:: –c 

-X也是个好参数,内容以assic码打印.可以看到明文内容

-n 不解析ip

-nn 不解析ip和端口

-v 显示稍微详细,ip包的ttl和tos信息

-vv 显示报文详细内容