tcpdump 實用指令

遠端作業時不見得每次都能夠有 GUI 環境能夠使用，如果要針對監聽網路封包就得使用 tcpdump ，本篇將記錄一些實用的 tcpdump 指令。

列出所有可監聽網路介面 #

$ sudo tcpdump -D

以 ASCII 顯示封包內容 #

監聽 HTTP 傳輸封包時可以搭配 -A 以 ASCII 顯示封包內容

$ sudo tcpdump -A -i eth0 tcp port 80

利用 -XX 以 HEX & ASCII 顯示封包內容 #

$ sudo tcpdump -XX -i eth0 dst port 53

以 dst port 過濾特定目標通訊埠的網路封包 #

$ sudo tcpdump -i eth0 dst port 22

只監聽往特定 IP 與通訊埠的網路封包 #

例如只監聽往 8.8.8.8:53 的網路封包

$ sudo tcpdump -i eth0 "dst 8.8.8.8 and dst port 53"

用 or 同時監聽通訊埠 80 與 443 的網路封包 #

$ sudo tcpdump -i eth0 "dst port 80 or dst port 443"

p.s. 也有 portrange 可以使用，例如 portrange 1-123

使用 -c 監聽特定數量的網路封包 #

例如只看前 5 個封包

$ sudo tcpdump -i eth0 -c 5

-w -r 儲存與讀取網路封包 #

儲存

$ sudo tcpdump -w dumps.cap

讀取

$ sudo tcpdump -r dumps.cap