一 命令语法
tcpdump [-AnnqX] [-i 接口] [-w 存储文件名] [-c 次数] [ -r 文件] [所要摘取的数据包数据格式]
选项与参数:
-A:数据包的内容以ASCII显示,通常用来抓取www的网页数据包数据
-e:使用数据链路层的MAC数据包来显示
-nn:直接以IP及port number显示,而非主机名与服务名称
-q:列出较为简短的数据包信息,每一行的内容比较精简
-X:列出十六进制以及ASCII的数据包内容,对于监听数据包内容很有用
-i:后面接要监听的网络接口,例如eth0、lo、pppo等
-w:如果将要监听所得的数据包数据存储下来,用这个参数,后面接文件名
-r:从后面接的文件将数据包数据读出来,这个文件是已经存在的文件
-c:监听的数据包数,如果没这个参数,tcpdump会持续不断的监听
二 tcpdump的应用
1、获取网卡上的数据包,以IP与port number显示
2、获取端口21的连接数据包
在一个终端执行命令开始抓包
再开另外一个终端登录网络上的一个FTP服务器,抓包过程见上面截图。
3、对SSH协议进行抓包
在一个终端执行命令开始抓包
再开一个终端执行ssh登录命令,抓包过程如上面截图,从抓包结果可以看出TCP连接三次握手的过程。
