Linux的tcpdump命令怎么用

tcpdump命令是基于unix系統(tǒng)的命令行的數(shù)據(jù)報嗅探工具，可以抓取流動在網(wǎng)卡上的數(shù)據(jù)包。

一般情況下Linux系統(tǒng)會自帶tcpdump工具，如果系統(tǒng)沒有安裝，直接用命令安裝就行了。

安裝命令：yum install -y tcpdump

查看安裝版本命令：tcpdump --help

查看網(wǎng)卡命令：

知道了網(wǎng)卡，就可以使用tcpdump工具針對服務(wù)器上的網(wǎng)卡監(jiān)控、過濾網(wǎng)絡(luò)數(shù)據(jù)。

tcpdump常用命令：

#抓取所有經(jīng)過 eth0，目的或源地址是 192.168.29.162 的網(wǎng)絡(luò)數(shù)據(jù)

命令：tcpdump -n -i eth0 host 192.168.29.162

# 源地址

命令：tcpdump -i eth2 src host 192.168.29.162

# 目的地址

命令：tcpdump -i eth2 dst host 192.168.29.162

#抓取當前服務(wù)器eth0網(wǎng)卡端口8080的網(wǎng)絡(luò)數(shù)據(jù)

命令：tcpdump -n -i eth0 port 8080

#抓取mysql執(zhí)行的sql語句

命令：tcpdump -i eth2 -s 0 -l -w - dst port 3306 | strings

#抓取mysql通訊的網(wǎng)絡(luò)包(cap用wireshark打開)

命令tcpdump -n -nn -tttt -i eth0 -s 65535 'port 3306' -w 20160505mysql.cap

#抓取SMTP 數(shù)據(jù)

命令：tcpdump -i eth2 'tcp[tcpflags] & tcp-syn != 0 and tcp[tcpflags] & tcp-ack != 0'

#抓取HTTP GET數(shù)據(jù)，”GET “的十六進制是 47455420

命令：tcpdump -i eth2 'tcp[(tcp[12]>>2):4] = 0x47455420'

#抓取SSH返回，”SSH-“的十六進制是 0x5353482D

命令：tcpdump -i eth2 'tcp[(tcp[12]>>2):4] = 0x5353482D'

#實時抓取端口號8080的GET包，然后寫入GET.log

命令：tcpdump -i eth0 '((port 8080) and (tcp[(tcp[12]>>2):4]=0x47455420))' -nnAl -w /tmp/GET.log

#抓取指定SYN個數(shù)，-c 參數(shù)指定抓多少個包。

命令：time tcpdump -nn -i eth0 'tcp[tcpflags] = tcp-syn' -c 10