tcpdump是一种常见的数据包分析器,它允许用户显示在网络上传输或接收的TCP/IP和其他数据包。tcpdump适用于大多数类unix操作系统:Linux、Solaris、FreeBSD、DragonFly BSD、NetBSD、OpenBSD、Openwrt、macOS、HP-UX 11i和AIX。tcpdump利用libpcap库来捕获包。
tcpdump也可以在Windows上以名为WinDump的端口的形式使用;它使用的是WinPcap,即libpcap的移植版本。
要获得可用选项的概述,您可以运行以下命令来显示帮助菜单:
tcpdump -h要开始指定要使用的网口和要分析其流量的主机:
tcpdump -i <interfacename> -v host <ipaddressofhost>你可以使用不同的过滤器来捕获特定的流量基于源和目标,例如,我们可以指定源和目标IP地址,以缩小我们的分析:
tcpdump -i eth0 -v dst ipaddress and src ipaddress此外,你还可以用以下命令扫描整个子网的流量:
tcpdump -i eth0 -v net 192.168.0.1/254你也可以分析特定协议的数据,使用你想要分析的通信协议的名称:
tcpdump -i eth0 -v tcp and net ipaddress with rangetcpdump的一个重要特性是能够将流量直接导出或捕获到.pcap文件中,以供以后分析或在Wireshark中使用。你可以很容易做到这一点,运行以下命令:
tcpdump -w /root/Desktop/name.pcap -i eth0 -v ‘src port 443 and dst ipaddress’