参数说明
| -P | 指定要抓取的包是流入还是流出的包。可以给定的值为”in”、”out”和”inout”,默认为”inout”。 |
| -n | 不把IP转为域名 直接显示ip |
| -nn | 不把协议和端口转化成名字 |
| -N | 不打印host的域名部分 |
| -w | 写入数据到文件 |
| -v | 当分析和打印的时候,产生详细的输出 |
| -vv | |
| -vvv | |
| -i | 指定网卡 |
| -l | 使用标准输出列的缓冲区 |
| -t | 每行的输出中不输出时间 |
| -tt | 每行输出中会输出时间戳 |
| -ttt | 输出没两行打印的时间间隔(毫秒为单位) |
| -tttt | 每行打印的时间戳之前添加日期的打印 |
| -A | 以ASCII码方式显示每一个数据包(不显示数据链路层头部信息) |
| -s | tcpdump默认只会截取前96字节的内容 要截取全部内容使用 -s number , number 为0就是截取全部报文内容 |
| -S | 使用绝对序列号而不是相对序列号 |
| -C | filesize 把原始数据保存文件前检查是否超过filesize 超过会重新建一个文件名字一样但后面多一个数字(1M应写成 1024×1024) |
提取http post 请求密码和主机名
tcpdump -s 0 -A -n -l |egrep -i "POST /|pwd=|password=|Host:"
抓取源地址是192.168.1.100的包,并将结果保存到 result.cap 文件中。
tcpdump src host 192.168.1.100 -w result.cap
抓取指定协议格式的数据包,协议格式可以是「udp,icmp,arp,ip」中的任何一种,例如以下命令:
tcpdump udp -i eth0 -vnn
