(1) 想要截获所有210.27.48.1 的主机收到的和发出的所有的分组:
- #tcpdump host 210.27.48.1
- 复制代码
(2) 想要截获主机210.27.48.1 和主机210.27.48.2或210.27.48.3的通信,使用命令(注意:括号前的反斜杠是必须的):
- #tcpdump host 210.27.48.1 and (210.27.48.2 or 210.27.48.3 )
- 复制代码
(3) 如果想要获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包,使用命令:
- #tcpdump ip host 210.27.48.1 and ! 210.27.48.2
- 复制代码
(4) 如果想要获取主机192.168.228.246接收或发出的ssh包,并且不转换主机名使用如下命令:
- #tcpdump -nn -n src host 192.168.228.246 and port 22 and tcp
- 复制代码
(5) 获取主机192.168.228.246接收或发出的ssh包,并把mac地址也一同显示:
- # tcpdump -e src host 192.168.228.246 and port 22 and tcp -n -nn
- 复制代码
(6) 过滤的是源主机为192.168.0.1与目的网络为192.168.0.0的报头:
- tcpdump src host 192.168.0.1 and dst net 192.168.0.0/24
- 复制代码
(7) 过滤源主机物理地址为XXX的报头:
- tcpdump ether src 00:50:04:BA:9B and dst……
- (为什么ether src后面没有host或者net?物理地址当然不可能有网络喽)。
- 复制代码
(8) 过滤源主机192.168.0.1和目的端口不是telnet的报头,并导入到tes.t.txt文件中:
- Tcpdump src host 192.168.0.1 and dst port not telnet -l > test.txt
- ip icmp arp rarp 和 tcp、udp、icmp这些选项等都要放到第一个参数的位置,用来过滤数据报的类型。
- 复制代码
如何使用tcpdump监听来自eth0适配卡且通信协议为port 22,目标来源为192.168.1.100的数据包资料?
- tcpdump -i eth0 -nn port 22 and src host 192.168.1.100
- 复制代码
如何使用tcpdump抓取访问eth0适配卡且访问端口为tcp 9080?
- tcpdump -i eth0 dst 172.168.70.35 and tcp port 9080
- 复制代码
如何使用tcpdump抓取与主机192.168.43.23或着与主机192.168.43.24通信报文,并且显示在控制台上
tcpdump -X -s 1024 -i eth0 host (192.168.43.23 or 192.168.43.24) and host 172.16.70.35喵呜面试助手:一站式解决面试问题,你可以搜索微信小程序 [喵呜面试助手] 或关注 [喵呜刷题] -> 面试助手 免费刷题。如有好的面试知识或技巧期待您的共享!