tcpdump抓包命令

简介：tcpdump是一个可以根据需求来抓取网络上传输的数据包的工具

常用的命令选项有：

-c：设定抓取的数量
-i：指定监听的网口
-w：将抓取的数据包保存到文件
-s：截取报文的内容，默认截取96字节，-s0表示截取全部
-r：读取数据包内容
-C 10：每10M保存一个包
-G 600：每10分钟保存一个包

过滤的参数规则：
host：指定主机名
net：指定网段
port：指定端口
portrange：指定端口范围

连接运算符
and：所有的条件都满足
or：只要满足一个条件
not：取反，也可以用！

例子：

1、抓取主机172.0.0.1的eth0网口的8080、8081端口传输的数据包并保存文件

tcpdump -i eth0 -s0 port 8080 or port 8081 host 172.0.0.1 -w 1.pcap

2、按 crtl+c 停止抓包，当前目录会生成一个1.pcap文件

3、简单查看数据包内容

tcpdump -r 1..pcap

注：一般对抓取的数据包用Wireshark工具进行分析