# 检查是否安装 which tcpdump # 安装 yum install -y tcpdump # tcpdump依赖于libpcap # tcpdump抓包 需要管理员权限 # 列出可以抓包的网络接口 sudo tcpdump -D # 1.eth0 # 2.virbr0 # 3.eth1 # 4.any (Pseudo-device that captures on all interfaces) any 特殊接口,可用于抓取所有活动的网络接口的数据包 # 5.lo [Loopback] # 对 any 接口进行抓包 sudo tcpdump -i any # tcpdump 会持续抓包直到收到中断信号,可以按 Ctrl+C 来停止抓包 # -c 选项可以用于限制 tcpdump 抓包的数量 # 抓取 5 个数据包后自动停止了抓包 sudo tcpdump -i any -c 5 # -n 选项显示 IP 地址,-nn 选项显示端口号 sudo tcpdump -i any -c5 -nn
# 默认启动 将监视第一个网络接口上所有流过的数据包 tcpdump # 监视指定网络接口的数据包 tcpdump -i eth0 -c 10 # 监视指定主机的数据包 tcpdump -i eth0 host 10.20.3.25 # 获取主机10.20.3.25发送的所有数据 tcpdump -i eth0 src host 10.20.3.25 # 监视所有发送到主机10.20.3.25的数据包 tcpdump -i eth0 dst host 10.20.3.25 # 监视指定主机和端口的数据包 tcpdump tcp port 22 and host 10.20.3.25 # 监视指定网络的数据包,如本机与10.20.3网段通信的数据包,"-c 10"表示只抓取10个包 tcpdump -c 10 net 10.20.3 # 抓取ping包 tcpdump -c 5 -nn -i eth0 icmp
