tcpdump cookbook

目录

如何限制抓包的数量

# 限制抓包 1000 个后停止
tcpdump   -i eth0 -c 1000 -s0 -w t.pcap

如何限制抓包的时间

# 限制抓包 15 秒后停止
tcpdump   -i eth0 -G 15 -W 1 -s0 -w t.pcap

如何把抓的包按时间分割

# -G 60 会每 60 秒产生一个新的文件
tcpdump -i eth0 -s0  -G 60 -w /var/tmp/t-%Y-%M-%d_%H.%M.%S.pcap
# 注意这个路径需要写/var/tmp/ 因为使用 tcpdump 这个用户生成的包,其他目录可能没有权限

如何抓某个 IP 的包

tcpdump -i eth0 host 192.168.1.1 -s0 -w t.pcap

如何抓某个端口的包

tcpdump -i eth0 port 80 -s0 -w t.pcap

如何抓某个端口范围的包

tcpdump -i eth0 portrange 1-1023 -s0 -w t.pcap

如何只抓 TCP 的包

tcpdump -i eth0 tcp -s0 -w t.pcap

如何只抓 TCP 的 FIN 包

tcpdump -i eth0  "tcp[tcpflags] & (tcp-fin) != 0" -s0 -w t.pcap

如何只抓 TCP 的 SYN 包

tcpdump -i eth0  "tcp[tcpflags] & (tcp-syn) != 0"  -s0 -w t.pcap

如何只抓 UDP 的包

tcpdump -i eth0 udp -s0 -w t.pcap

如何抓所有网卡的包

tcpdump -i any -s0 -w t.pcap

目录