tcpdump使用方法

一、centos上可以采用下面的命令进行安装。

yum install tcpdump

二、实例：

1、监视指定网络接口的数据包

即监听指定网卡的数据包，若不指定网卡，默认tcpdump只会监视第一个网络接口。如监听 eth0网卡，如下：

tcpdump -i eth0

2、监视指定主机或ip的数据包

格式：tcpdump host hostOrIp

如监听 www.findme.wang 的数据包：tcpdump host www.findme.wang

这会把和 www.findme.wang 之间来往的所有数据包都抓取到，包含出和入的包。

3、监视指定来源的数据包

格式：cpdump src host hostOrIp

下面命令，会抓取来自“www.findme.wang”的所有数据包。

tcpdump src host www.findme.wang

4、监视指定目的地的数据包

格式：tcpdump dst host hostOrIp

下面命令，会抓取发给“www.findme.wang”的所有数据包。

tcpdump dst host www.findme.wang

5、监视指定端口号的数据包

格式：tcpdump port 8080

6、监视指定传输层协议的数据包

监听tcp数据包：tcpdump tcp

监听udp数据包如下：tcpdump udp

7、使用多条件进行过滤

tcpdump支持使用and、or、not来过滤抓取的数据包。比如，监听来自于www.findme.wang的80端口数据包，如下：

tcpdump src host www.findme.wang and port 80

8、设置抓取的数据包个数

tcpdump -c 3 抓取3个数据包就退出。

9、监听访问wikipad网站的443端口，-w filename 监听内容写入文件

使用命令：tcpdump host www.wikipedia.org and port 443

带写入文件时：tcpdump host www.wikipedia.org and port 443 -w wike.cap

10、监听与192.168.0.1的udp协议通信情况

命令：tcpdump host 192.168.0.1 and udp

带写入文件：tcpdump host 192.168.0.1 and udp -w 1udp.cap

11、监视指定网络接口和端口UDP数据包

即监听指定网卡的数据包，若不指定网卡，默认tcpdump只会监视第一个网络接口。命令：命令：tcpdump -i eth0 udp and port 8000

带写入文件：tcpdump -i eth0 udp and port 8000 -w udp.cap

注：upd.cap文件可以使用wireshark(windows版)打开进行详细的数据分析。