tcpdump抓包詳解

1. 準備工作：本次采用的環境是centos6.5
   

   默認Linux沒有安裝tcpdump  我們需要安裝

   1）yum install tcpdump -y

   

   2)如果忘記了這個軟件的用法，我們可以使用 tcpdump --help 來查看一下使用方法

      3)一般我們的服務器里邊只有一個網卡，使用tcpdump可以直接抓取數據包，但是這樣查看太麻煩了，所以都會添加參數來進行獲取的。

例如我截取本機（192.168.31.147）和主機114.114.114.114之間的數據

tcpdump -n -i eth0 host 192.168.31.147 and 114.114.114.114

    注： 如果使用的雙網卡也可以抓取Eth2  （tcpdump -i eth2））

    4)還有截取全部進入服務器的數據可以使用以下的格式

tcpdump -n -i eth0 dst 192.168.31.147

或者服務器有多個IP 可以使用參數

tcpdump -n -i eth0 dst 192.168.31.147  or  192.168.31.157

     5)我們抓取全部進入服務器的TCP數據包使用以下的格式，大家可以參考下

 tcpdump -n -i eth0 dst 192.168.31.147 or 192.168.31.157 and tcp

從本機出去的數據包

tcpdump -n -i eth0 src 192.168.31.147 or 192.168.31.157

tcpdump -n -i eth0 src 192.168.31.147 or 192.168.31.157 and port ! 22 and tcp

或者可以條件可以是or  和 and  配合使用即可篩選出更好的結果。

2 tcpdump詳細命令講解

(1)tcp: ip icmp arp rarp 和 tcp、udp、icmp這些選項等都要放到第一個參數的位置，用來過濾數據報的類型
(2)-i eth2 : 只抓經過接口eth2的包
(3)-t : 不顯示時間戳
(4)-s 0 : 抓取數據包時默認抓取長度為68字節。加上-S 0 后可以抓到完整的數據包
(5)-c 100 : 只抓取100個數據包
(6)dst port ! 22 : 不抓取目標端口是22的數據包
(7)src net 192.168.1.0/24 : 數據包的源網絡地址為192.168.1.0/24
(8)-w ./target.cap : 保存成cap文件，方便用ethereal(即wireshark)分析