Linux 自带抓包工具 tcpdump 使用说明

本文最近更新于 2018 年 05 月 15 日

tcpdump 是个强大的网络分析工具，有很多细致的规则可以定义。

命令格式：

tcpdump [-nn] [-i 接口] [-w 储存档名] [-c 次数] [-Ae][-qX]

参数说明：

-a 　　　将网络地址和广播地址转变成名字；
-d 　　　将匹配信息包的代码以人们能够理解的汇编格式给出；
-dd 　　 将匹配信息包的代码以 c 语言程序段的格式给出；
-ddd 　　将匹配信息包的代码以十进制的形式给出；
-e 　　　在输出行打印出数据链路层的头部信息；
-f 　　　将外部的 Internet 地址以数字的形式打印出来；
-l 　　　使标准输出变为缓冲行形式；
-n 　　　不把网络地址转换成名字；
-nn 　　　直接以 IP 及 port number 显示，而非主机名与服务名称；
-t 　　　在输出的每一行不打印时间戳；
-v 　　　输出一个稍微详细的信息，例如在 IP 包中可以包括 ttl 和服务类型的信息；
-vv 　　 输出详细的报文信息；
-c 　　　在收到指定的包的数目后，tcpdump 就会停止；
-F 　　　从指定的文件中读取表达式，忽略其它的表达式；
-i 　　　指定监听的网络接口；
-r 　　　从指定的文件中读取包(这些包一般通过 -w 选项产生)；
-w 　　　直接将包写入文件中，并不分析和打印出来；
-T 　　　将监听到的包直接解释为指定的类型的报文，常见的类型有 rpc（远程过程调用）和 snmp（简单网络管理协议）

扩展阅读：

• Manpage of TCPDUMP
• tcpdump 的用法
• Linux tcpdump 命令详解