Introduction: It will by time to capture the package
Format:
tcpdump [options] [filter express]Option : Ref tcpdump example
.-n:以數字顯示,不對 IP 作反解,但仍顯示服務名稱。.-nn:直接以 IP 及 port number 顯示,而非主機名與服務名稱。
.-p:不要以 promiscuous mode 執行。
.-t:不要顯示 timestamp。
.-i:指令要監控的網路介面,如 eth0、lo、any 等。
.-e:使用資料連接層 (OSI 第二層) 的 MAC 封包資料來顯示。
.-c:監聽的封包數,如果沒有這個參數,tcpdump 會持續不斷的監聽,直到使用者輸入 [ctrl]-c 為止。
.-q:僅列出較為簡短的封包資訊,每一行的內容比較精簡。
.-s:抓比較長的 data 做一筆記錄。
.-v:輸出一個稍微詳細的資訊,例如在 IP 封包中可以包括 ttl 和服務類型的資訊。
.-A:封包的內容以 ASCII 顯示,通常用來捉取 WWW 的網頁封包資料。
.-X:可以列出十六進位 (hex) 以及 ASCII 的封包內容,對於監聽封包內容很有用。
.-w:如果你要將監聽所得的封包資料儲存下來,用這個參數就對了!後面接檔名。
.-r:從後面接的檔案將封包資料讀出來。那個『檔案』是已經存在的檔案,並且這個『檔案』是由 -w 所製作出來的。
Expression:
(Protocol ) (port) (host)
protocol: tcp, udp, icmp
port: number, ssh
host: host IP or net CIDR
addrest: src, dst
#tcpdump -t -nn -i eth0 "tcp port https and src host 192.168.70.2"
Exampl2:
Capture ICMP Package
Reference:
tcpdump-6up.pdf
Chinese_Exaplaination
Good example tcpdump
沒有留言:
張貼留言