tcpdump 是一個強大的網路抓包工具,主要用於截取網路中傳輸的數據包進行分析。以下是使用 tcpdump 進行抓包的一些基本教程:
基本語法。tcpdump [選項] [表達式]。其中,選項用於指定抓包的方式和格式,表達式用於過濾要抓取的數據包。
常用選項。-i <接口>:指定抓包的網路接口。例如,-i eth0 表示使用 eth0 接口抓包。-w <文件名>:將抓取的數據包保存到檔案中,例如 -w output.pcap。-n:關閉 DNS 反查,使 IP 地址以數字形式顯示。-c <数量>:指定抓取的數據包數量,達到指定數量後自動停止抓包。
過濾表達式。例如,host 192.168.1.1 表示只抓取與 192.168.1.1 相關的數據包;tcp 表示只抓取 TCP 協定的數據包;port 80 表示只抓取連線埠 80 的數據包。
保存與查看抓取的數據包。可以使用 Wireshark 等工具打開 .pcap 檔案查看抓取的數據包。
示例。tcpdump -i eth0 -n -c 100 port 80 表示在 eth0 接口上抓取發往或來自連線埠 80 的數據包,抓取 100 個數據包後自動停止,且在輸出中以數字形式顯示 IP 地址。
以上是 tcpdump 的基本使用方法,根據實際需要,可以靈活組合使用這些選項和表達式來滿足不同的抓包需求。