# tcpdump:
-i interface
-w file :保存到文件
-nn:第一个n表示把IP地址显示为数字格式,而不是主机名,第二个n表示把端口显示为数字格式
-X:hex and ASCII
-A:ASCII
-VV:更详细信息
expression:
关键字:
type:host,net,port,portrange
direction:src,dst,src or dst,src and dst
protocol:ether,ip,arp,tcp,udp,wlan
tcpdump -i eth0 -nn host IP1 ---抓取IP1的通信(包括IP1发给其它主机的,以及其它主机发给IP1的(源和目标都是IP1))
tcpdump -i eth0 -nn dst host IP1 ---抓取目标主机是IP1的通信
组合:and ,or ,not
tcpdump -i eth0 -nn host IP1 and IP2 ---抓取IP1和IP2之间的通信
tcpdump -i eth0 -nn host IP1 and (IP2 or IP3) ---抓取IP1跟IP2间,或IP1跟IP3之间的通信
tcpdump tcp dst port 80 -n and src 10.2.2.4
tcpdump tcp dst port 80 -n and ! src 10.2.2.4
tcpdump tcp dst port 80 -n and host 10.2.2.4
-vv <---把数据包的详细内容都记录下来
-w <---把数据保存到某个文件