1.首先要使用就要先安装啦,要先下载libpcap和tcpdump。下载地址 http://www.tcpdump.org/ 2.安装c编译所需包:apt-get install build-esse
1.首先要使用就要先安装啦,要先下载libpcap和tcpdump。下载地址 http://www.tcpdump.org/
2.安装c编译所需包:apt-get install build-essential
3.安装 libpcap的前置:apt-get install flex,apt-get install bison
4.安装libpcap(还是那么几步)
tar xvfz libpcap.tar.gz
cd libpcap
./configure
make
make install
5.安装tcpdump
tar xvfz tcpdump.tar.gz
cd tcpdump
./configure
make
make install
到了这步就完成安装了,下面来检查是否成功安装了输入tcpdump,如果有网络信息显示就证明成功了。
tcpdump功能很多,下面给出常用的一些例子
监听指定端口
$ tcpdump -i eth0 -nnA 'port 80'
上例是用来监听主机的80端口收到和发送的所有数据包,结合-A参数,在web开发中,真是非常有用。
监听除某个端口外的其它端口
$ tcpdump -i eth0 -nnA '!port 22'
如果需要排除某个端口或者主机,可以使用“!”符号,上例表示监听非22端口的数据包。
监听指定的主机
$ tcpdump -i eth0 -nn 'host 192.168.1.99'
这样的话,192.168.1.99这台主机接收到的包和发送的包都会被抓取。
$ tcpdump -i eth0 -nn 'src host 192.168.1.99'
这样只有192.168.1.99这台主机发送的包才会被抓取。
$ tcpdump -i eth0 -nn 'dst host 192.168.1.99'
这样只有192.168.1.99这台主机接收到的包才会被抓取。
监听指定主机和端口
$ tcpdump -i eth0 -nnA 'port 80 and src host 192.168.1.99'
多个条件可以用and,or连接。上例表示监听192.168.1.99主机通过80端口发送的数据包。
