Comando de captura de red de Linux tcpdump detallada

tcpdump usa el modo de línea de comando. Su formato de comando es: tcpdump [-adeflnNOpqStvx] [-c número] [-F nombre de archivo] [-i interfaz de red] [-r nombre de archivo] [-s snaplen] [- T type] [-w filename] [expresión]

-a convierte la dirección de red y la dirección de difusión en un nombre; -d proporciona el código que coincide con el paquete en un formato de conjunto que la gente puede entender; Dd proporciona el código que coincide con el paquete en el formato del bloque de lenguaje c; -ddd proporciona el código que coincide con el paquete en forma decimal; -e imprime la información del encabezado de la capa de enlace de datos en la línea de salida; -f Imprima la dirección de Internet externa como un número; -l hacer que la salida estándar se vea como una línea de búfer; -no convierte la dirección de red en un nombre; -no imprima una marca de tiempo en cada línea de la salida; -v imprime un poco Información detallada, ejemplos. La información de tipo de servicio y tp se puede incluir en el paquete ip; -vv muestra información detallada del mensaje; -c tcpdump se detiene después de recibir el número especificado de paquetes; -F lee la expresión del archivo especificado , ignore otras expresiones; -i especifica la interfaz de red para escuchar; -r lee el paquete del archivo especificado (estos paquetes generalmente son generados por la opción -w); -w escribe directamente el paquete en el archivo, sin análisis y Imprima; -T interpreta los paquetes monitoreados directamente como mensajes del tipo especificado. Los tipos comunes son rpc (llamada a procedimiento remoto) y snmp (protocolo simple de administración de red;)

Ejemplo:

1. Si desea capturar el paquete de eth0, el formato del comando es el siguiente:

tcpdump -i eth0 -w /tmp/eth0.cap

2, si desea capturar el paquete de 192.168.1.20 El formato del comando es el siguiente:

tcpdump -i etho host 192.168.1.20 -w /tmp/temp.cap

3. Si desea capturar el paquete ICMP de 192.168.1.20, el formato del comando es el siguiente: Br>

tcpdump -i etho host 192.168.1. 20 y icmp -w /tmp/icmp.cap

4. Si desea capturar otros paquetes que no sean los puertos 10000, 10001 y 10002 de 192.168.1.20, el formato del comando es el siguiente:

tcpdump - I etho host 192.168.1.20 y! Port 10000 y! Port 10001 y! Port 10002 -w /tmp/port.cap

5. Si desea capturar el paquete vlan 1, el formato de comando es el siguiente:

tcpdump -i eth0 puerto 80 y vlan 1 -w /tmp/vlan.cap

6, si desea capturar la contraseña de pppoe, el formato del comando es el siguiente:

tcpdump -i eht0 pppoes - w /tmp/pppoe.cap

7. Si desea tomar el paquete eth0, tome 10000 paquetes y salga. El formato del comando es el siguiente:

tcpdump -i eth0 -c 10000 -w /Tmp /temp.cap

8. En segundo plano, tome el paquete eth0 en el puerto 80. El formato del comando es el siguiente:

nohup tcpdump -i eth0 port 80 -w /tmp/temp.cap &

#p> #################################################################################________________________________________________ /eth0.cap -s0 De lo contrario, el paquete no está completo, no hay contenido