實用命令實例
普通情況下,啓動tcpdump將監視第一個網絡接口上面所有流過的數據包
tcpudmp
監控制定網絡接口的數據包
tcpdump -i eth0
打印所有進入或離開sundown的數據包
tcpdump host sundown
也可以指定IP,截獲所有139.199.32.44的主機收到的和發出去的所有的數據包
tcpdump host 139.199.32.44
打印helios 與hot 或者ace之間通信的數據包
tcpdump host helios and \(hot or ace \)
截獲主機210.27.48.1 和主機210.27.48.2 或210.27.48.3的通信
tcpdump host 210.27.48.1 and \ (210.27.48.2 or 210.27.48.3 \)
截獲主機hostname發送的所有數據
tcpdump -i eth0 src host hostname
監視所有送到主機hostname的數據包
tcpdump -i eth0 dst host hostname
監視指定的主機和端口的數據包
如果想要獲取主機139.199.32.44接收或發出的telnet包,使用如下命令
tcpdump tcp prot 23 and host 139.199.32.44
對本機的udp 123 端口進行監視 123 爲ntp服務的端口
tcpdump udp port 123
監視指定網絡的數據包
打印本地主機與Berkeley網絡上的主機之間的所有通信數據包(nt: ucb-ether, 此處可理解爲'Berkeley網絡'的網絡地址,此表達式最原始的含義可表達爲: 打印網絡地址爲ucb-ether的所有數據包)
tcpdump net ucb-ether