命令格式
tcpdump [option] [expression]重要選項
-i : 指定讀取 packets 的網卡,如果不指定,以讀取序號最小的網卡,如系統存在 eth0 和 eth1, 則讀取 eth0 的。
Note: 如果是本機與本機之間通信,請使用 -i lo, 即使綁定的地址不是 loopback 地址。
-w , -r : 將 packets 寫入文件和從文件讀入 packets, 這個用於事後分析而不是現場分析。
-c : 處理 count 個 packet 之後推出。如果不指定 count, 命令會一直處理,知道收到相關信號。
-n: Don’t convert host addresses to names. This can be used to avoid DNS lookups.
-nn: Don’t convert protocol and port numbers etc. to names either.
表達式
tcpdump -ieth0 -v dst port 22 and \(src host 10.144.66.170 or src host 119.28.50.178\)Note:
1. 表達式可以用雙引號、單引號包含,也可以不用引號
2. () 需要轉義
案例
- 查看某服務進程是否收到包,綁定地址:udp://172.25.40.208:6668
tcpdump -ilo udp dst port 6668
tcpdump -ieth1 udp dst port 6668Note: udp dst port 6668 == (udp) and (dst port 6668)