tcpdump命令及输出详解

一. 使用方法

1. 指定类型

host：指定主机

tcpdump host 192.168.100.1
tcpdump host 192.168.100.1 and !192.168.100.2
tcpdump host 192.168.100.1 and \(192.168.100.2 or 192.168.100.3\)

net：指定网络地址

tcpdump net 192.168.100.0/24

port：指定端口

tcpdump port 80

2. 指定方向

src：源地址

tcpdump src 192.168.100.1
tcpdump src 192.168.100.1 port 22 -i eth0

dst：目标地址

tcpdump dst 192.168.100.1

3. 参数类型

-i：指定接口

tcpdump -i eth0 

4. 指定协议

tcp：指定tcp协议
arp：指定arp协议
udp：指定udp协议

4. 条件组合

tcpdump -i eth0 host 192.168.100.1

二. 输出分析

20:34:28.943272 ip 192.168.100.160.ssh > 192.168.100.1.52214: flags [p.], seq 100384:100464, ack 241, win 251, length 80
第一列：时分秒毫秒
第二列：网络协议
第三列：发送方的ip地址+端口号(或者协议)
第四列：>
第五列：接收方的ip地址+端口号(或者协议)
第六列：冒号
第七列：flag标识符：
    [s]：建立连接的标识syn
    [p]：发送数据的标识
    [f]：结束连接的标识fin
    [.]：没有标识