你们好,最近小时发现有诸多的小伙伴们对于tcpdump安装,tcpdump这个问题都颇为感兴趣的,今天小活为大家梳理了下,一起往下看看吧。
1、 #tcpdump -n
2、 通常情况下,tcpdump会尝试查找并转换主机名和端口号。
3、 #tcpdump
4、 您可以通过-n标志关闭这个功能。我个人一直用这个标签,因为我喜欢用IP地址而不是主机名,主机名和端口号的转换往往会带来麻烦。但是,
5、 知道要不要用tcpdump转换还是挺有用的,特别是有时候,知道源流量来自哪个服务器很重要。
6、 添加详细信息
7、 #tcpdump -v
8、 添加一个简单的-v标志,输出将包含更多信息,如ttl、生存时间(TTL)、长度和IP数据包的其他选项。
9、 有三个层次的详细信息tcpdump。您可以通过增加命令行上V标记的数量来获得更多信息。通常当我使用tcpmdump时,我总是使用最高级别的详细信息,因为我希望看到所有的信息。
10、 万一你以后需要它。
11、 #tcpdump -vvv -c 1
12、 指定网络接口
13、 #tcpdump -i eth0
14、 一般情况下,如果没有指定网络接口,tcpdump会在运行时选择编号最小的网络接口,一般为eth0,但不同系统可能会有所不同。
15、 您可以使用-i标记来指定网络接口。在大多数Linux系统上,特定的网络接口名称any用于使tcpdump监听所有接口。我发现这在解决服务器问题(具有多个网络接口)时特别有用。
16、 尤其是路由的时候。
17、 #tcpdump -i any
18、 写文件
19、 #tcpdump -w /path/to/file
20、 tcpdump运行结果将输出到屏幕上。
21、 但是很多时候,你想把tcpdump的输出结果保存在一个文件中,最简单的方法就是使用-w标签。如果您稍后要检查这些网络数据,这尤其有用。将这些数据存储在文件中的优点是,
22、 也就是说,您可以多次读取这个保存的文件,并且可以在这个网络流量快照上使用其他标记或过滤器(我们将在后面讨论)。
23、 #tcpdump -w /var/tmp/tcpdata.pcap
24、 读取文件
25、 #tcpdump -r /path/to/file
26、 一旦将输出保存为文件,就必须阅读该文件。为此,您只需在-r标记后指定该文件的存储路径。
27、 稍微提醒一下,如果你熟悉wireshark等网络诊断工具,也可以用它们读取保存在tcpdump的文件。
28、 指定抓取大小
29、 #tcpdump -s 100
30、 较新的版本tcpdump通常可以拦截65535字节,但在某些情况下您不需要拦截默认大小的数据包。运行tcpdump时,可以通过-s标志指定快照长度。
31、 指定要抓取的包的数量
32、 #tcpdump -c 10
33、 tcpdump将一直运行,直到您使用CTRL C使其退出。
34、 您还可以通过在-c标记后添加数据包的数量,使tcpdump在捕获一定数量的数据包后停止操作。当你不想看到tcpdump的输出出现在屏幕上多到看不清的时候,
35、 你会想要使用这个标签。当然,在过滤器的帮助下拦截特定的流量通常会更好。
36、 基础知识总结
37、 #tcpdump -nvvv -i any -c 100 -s 100
38、 您可以组合这些基本标记,使tcpdump提供您需要的信息。
以上就是tcpdump这篇文章的一些介绍,希望对大家有所帮助。