tcpdump 简明手册
| 选项 | 示例 | 说明 |
|---|---|---|
-i | tcpdump -i eth0 | 指定网络接口,默认是 0 号接口(如 eth0),any 表示所有接口 |
-nn | tcpdump -nn | 不解析 IP 地址和端口号的名称 |
-c | tcpdump -c 5 | 限制要抓取的网络包的个数 |
-w | tcpdump -w file.pcap | 保持到文件中,文件名通常以 .pcap 为后缀 |
| 选项 | 示例 | 说明 |
|---|---|---|
host、src host、dst host | tcpdump -nn host 192.168.1.100 | 主机过滤 |
port、 src port、dst port | tcpdump -nn port 80 | 端口过滤 |
ip、ip6、arp、tcp、udp、icmp | tcpdump -nn tcp | 协议过滤 |
and、or、not | tcpdump -nn host 192.168.1.100 and port 80 | 逻辑表达式 |
tcp[tcoflages] | tcpdump -nn "tcp[tcpflags] & tcp-syn != 0" | 特定状态的 TCP 包 |