tcpdump命令及輸出詳解

一. 使用方法

1. 指定類型

host：指定主機

tcpdump host 192.168.100.1
tcpdump host 192.168.100.1 and !192.168.100.2
tcpdump host 192.168.100.1 and \(192.168.100.2 or 192.168.100.3\)

net：指定網路地址

tcpdump net 192.168.100.0/24

port：指定埠

tcpdump port 80

2. 指定方向

src：源地址

tcpdump src 192.168.100.1
tcpdump src 192.168.100.1 port 22 -i eth0

dst：目標地址

tcpdump dst 192.168.100.1

3. 參數類型

-i：指定介面

tcpdump -i eth0 

4. 指定協議

tcp：指定tcp協議
arp：指定ARP協議
udp：指定udp協議

4. 條件組合

tcpdump -i eth0 host 192.168.100.1

二. 輸出分析

20:34:28.943272 IP 192.168.100.160.ssh > 192.168.100.1.52214: Flags [P.], seq 100384:100464, ack 241, win 251, length 80
第一列：時分秒毫秒
第二列：網路協議
第三列：發送方的ip地址+埠號(或者協議)
第四列：>
第五列：接收方的ip地址+埠號(或者協議)
第六列：冒號
第七列：Flag標識符：
    [S]：建立連接的標識SYN
    [P]：發送數據的標識
    [F]：結束連接的標識FIN
    [.]：沒有標識