tcpdump抓包

还用tcpdump通常使用的命令以下：

　　tcpdump -i any -n host X.X.X.X and port X -w test.cap

　　代表监放任何网络接口，抓取ip和端口为X.X.X.X:X主机上的包，并将结果写到test.cap上。

而后用wireshark软件打开test.cap，右键Follow TCP Stream，就能够看到关于包的信息。

 

附：

tcpdump选项
选项     含义
-A                      以ASCII格式打印出全部分组，并将链路层的头最小化
-d                      将匹配信息包的代码以人们可以理解的汇编格式给出
-D                     打印出系统中全部能够用tcpdump截包的网络接口
-ddd                 将匹配信息包的代码以十进制的形式输出
-e                      在输出行打印出数据链路层的头部信息
-f                       将外部的Internet地址以数字的形式打印出来
-l                       使标准输出变为缓冲行形式
-L                      列出网络接口的已知数据链路
-n                     不把网络地址转换成名字
-N                    不输出主机名中的域名部分，如“kongove.ubuntu.cn”只输出“kongove”
-O                    不运行分组分组匹配（packet-matching）代码优化程序
-p                    不将网络接口设置成混杂模式
-q     快速输出，只输出较少的协议信息
-S     将tcp的序列号以绝对值形式输出，而不是相对值
-t     在输出的每一行不打印时间戳
-u     输出未解码的NFS句柄
-v     输出一个稍微详细的信息，例如在ip包中能够包括ttl和服务类型的信息
-vv     输出详细的报文信息
-c count     指定监听数据包数量，当收到指定的包的数目后，tcpdump就会中止
-C file_size     限定数据包写入文件大小
-F file     从指定的文件中读取表达式,忽略其它的表达式
-i interface     指定监听网络接口
-m module     打开指定的SMI MIB组件
-M secret     若是tcp报文中存在TCP-MD5选项，则须要用secret做为共享的验证码用于验证TCP-MD5选选项摘要（详见RFC 2385）
-r file     从指定的文件中读取包(这些包通常经过-w选项产生)
-s snaplen     从每一个分组中读取最开始的snaplen个字节，而不是默认的68个字节
-T type     将截取的数据包直接解释为指定类型的报文，常见类型有rpc（远程过程调用）和snmp（简单网络管理协议），还包括aodv、cnfp、rpc、rtp、rtcp、snmp、tftp、vat、wb等
-w file     指定将监听到的数据包写入文件，不分析和打印数据包
-W filecount     限定能写入文件数据包的数量
-E spi@ipaddr algo:secret,...     用spi@ipaddr algo:secret解密那些以addr做为地址，而且包含了安全参数索引值spi的IPsec ESP分组
expression     综合表达式