tcp使用手册

格式:
tcpdump [选项] [过滤条件]

选项:
-i eth0 #网卡接口
-A #以ASCII码格式阅读
-w file #下载抓取的数据包
-r file #上传数据包

-n #表示不解释域名  -nn #表示不解析域名和端口

-s数字  #截获报文数字. -s0表示截获所有报文

-v,vv,vvv  #显示更多信息

-p #不让网络接口进入混杂模式

-e #显示数据链路层信息

过滤条件:
1. host/net 192.168.0.2
　　1.1 方向修饰:src/dst

　　1.2 net   192.168.1.1(四元组)/192.168.1(三元组)/192.168(二元组)/192(一元组)/192.168.0.0/12(CIDR模式)
2. port/portrange 21/21-22
　　2.1 协议修饰:tcp/udp/ip/wlan/arp...,前面省略了proto,有时这些保留字需要加转译\

 

3.抓取HTTP有效数据包

 tcpdump 'tcp port 8080 and (((ip[2:2] - ((ip[0]&0xf)<<2))-((tcp[12]&0xf0)>>2)) != 0)'

 

4.将tcpdump数据重定向到wireshark