tcpdump常用参数:
-D 显示可抓包的接口,可以在此找寻你想要抓的接口名字
-i 跟接口名字,对跟定接口进行抓包。
-G 循环抓取的秒数,达到设定的秒数,循环覆盖文件,可以与-W和-C组合使用。
-C 抓包文件切割参数,后跟文件大小,单位是1000000接近Mbyte单位。
-W 跟文件数,通常与-C和-G组合使用
-c 跟数据包数,抓取指定包数停止抓包
-w 后跟文件名及存取目录,抓包生成的文件名字,不加-w的化,tcpdump默认输出是吐屏。
tcpdump -i eth0 host 10.10.10.10 -w /zhuabao.pcap 抓取单个IP并写入文件zhuabao.pcap
tcpdump -i eth0 host 10.10.10.10 or host 10.10.10.11 抓多个IP地址
tcpdump -i eth0 net 10.10.10.0/24 抓网段
tcpdump -i eth0 src host 10.10.10.10 可以抓源src或者目的dst
tcpdump -i eth0 host 10.10.10.10 and port 53 抓取IP&port的数据包
tcpdump -i eth0 host 10.10.10.10 and http -c 10 抓取IPP&协议的数据包,抓10个停止
nohup tcpdump -i eth0 host 10.10.10.10 -w /zhuabao.pcap & nohup配合后台运行符&进行抓包