Tcpdump基本用法

tcpdump

使用tcpdump抓取HTTP包:

1
tcpdump  -XvvennSs 0 tcp[20:2]=0x4745 or tcp[20:2]=0x4854

0x4745 为”GET”前两个字母”GE”,0x4854 为”HTTP”前两个字母”HT”。

远程ssh配合tcpdump抓包:

1
ssh ** "tcpdump -XvvennSs 0 tcp[20:2]=0x4745 or tcp[20:2]=0x4854 and dst port 80 -w -" > test.cap

tcpdump 对截获的数据并没有进行彻底解码,数据包内的大部分内容是使用十六进制的形式直接打印输出的。显然这不利于分析网络故障,通常的解决办法是先使用带-w参数的tcpdump 截获数据并保存到文件中,然后再使用其他程序(如Wireshark)进行解码分析。当然也应该定义过滤规则,以避免捕获的数据包填满整个硬盘。