文字接口数据包抓包工具——tcpdump

一 命令语法

tcpdump [-AnnqX] [-i 接口] [-w 存储文件名] [-c 次数] [ -r 文件] [所要摘取的数据包数据格式]

选项与参数：

-A：数据包的内容以ASCII显示，通常用来抓取www的网页数据包数据

-e：使用数据链路层的MAC数据包来显示

-nn：直接以IP及port number显示，而非主机名与服务名称

-q：列出较为简短的数据包信息，每一行的内容比较精简

-X：列出十六进制以及ASCII的数据包内容，对于监听数据包内容很有用

-i：后面接要监听的网络接口，例如eth0、lo、pppo等

-w:如果将要监听所得的数据包数据存储下来，用这个参数，后面接文件名

-r：从后面接的文件将数据包数据读出来，这个文件是已经存在的文件

-c：监听的数据包数，如果没这个参数，tcpdump会持续不断的监听

 

二 tcpdump的应用

1、获取网卡上的数据包，以IP与port number显示

 

2、获取端口21的连接数据包

在一个终端执行命令开始抓包

再开另外一个终端登录网络上的一个FTP服务器，抓包过程见上面截图。

 

3、对SSH协议进行抓包

在一个终端执行命令开始抓包

再开一个终端执行ssh登录命令，抓包过程如上面截图，从抓包结果可以看出TCP连接三次握手的过程。

 
 

评论

1 楼 woodding2008 2016-11-15  

好文，
弱弱的问一句，跟tcpflow的应用场景有什么不同