Linux抓包工具tcpdump_tcpdump src dst

一、tcpdump抓包工具

1.命令格式解析

命令格式：tcpdump   option  proto  dir  type      

proto（协议）

1.tcp、udp、icmp

2.ip、ipv6

3.arp

dir（数据的方向 ）

1.src  192.168.7.130  只抓取源地址是7.130

2.dst  192.168.7.131  只抓取目的地是7.131

3.src  192.168.7.130  and  dst  192.168.7.131  只抓取130到131之间的

type（抓取的数据类型）

1.host：主机

2.net：网段

3.port：端口

4.port range：端口范围

2.抓包

对网络接口抓包：tcpdump  -i  ens33

第一列：01:14:53.567488：时分毫秒

第二列：IP：网络协议ip

第三列：192.168.7.1.49322 >：发送方的IP地址+端口号发送数据流向给

第四列：localhost.localdomain.ssh:Flags [.]：主机名协议，主机名为localhost.localdomain，协议为ssh

第五列：确认号ack号、序号seq号、win窗口长度、tcp标志位

3.参数

4.实例

1.抓取源地址是10.0.0.6，目的地址是10.0.0.7，经过eth0网卡的icmp协议包

tcpdump  -i  eth0  -nn  icmp  and  src  host  10.0.0.6  and  dst  host  10.0.0.7

2.只监听TCP的数据包

tcpdump  tcp

3.监听来自主机10.0.0.100在端口22上的TCP数据包

tcpdump  tcp  port  22  and  src  host  10.0.0.100

4.监听特定主机之间的通信

tcpdump  ip  src  host  10.0.0.101  and  10.0.0.102

5.10.0.0.10和除了10.0.0.1之外的主机之间的通信

tcpdump  ip  host  10.0.0.101  and  !  10.0.0.1

6.抓取源地址为192.168.7.130，目的地址为192.168.7.131的数据流

tcpdump  -i  ens33  src  192.168.7.130  and  dst  192.168.7.131

二、过滤规则

1.基于ip地址或网段过滤

1.host

当主机1ping主机2时只抓取目的地址是192.168.7.131有关的流量信息

tcpdump  -i  ens33  host  192.168.7.131

2.dst  选项  目的地址

tcpdump  -i  ens33  dst  192.168.7.131

3.src  选项  源地址

tcpdump  -i  ens33  src  192.168.7.131

4.net  选项

tcpdump  net  192.168.7.130/24  -i  ens33

2.基于端口过滤

1.port  端口号

抓取80端口

tcpdump  -i  ens33  port  80

2.抓取80或22端口

tcpdump  -i   ens33  port  80  or  port  22

3.用范围抓取80和22端口

tcpdump  -i   ens33  portrange  80-22

3.基于协议过滤

应用层协议不可以直接抓取

1.tcpdump  -i  ens33  icmp

协议种类：ip、arp、icmp、tcp、udp