安恒debian论坛
首页 | 动态 | 产品 | 培训 | 服务 | 技术 | 关于 | 下载 | 收藏

提问题的注意事项:如何有效地描述问题以获得专家和网友的帮助。
换firefox浏览器,可以解决任何的ie问题
[新建主题] [回复本帖] [返回论坛]
刘世伟  2006-10-31 08:25:57 发表于 debian论坛  阅:38850
刘世伟
总帖: 261
精华: 17
[标题]
tcpdump抓包 wireshark(ethereal)分析
[内容]
tcpdump 的抓包保存到文件的命令参数是-w xxx.cap

抓eth1的包
tcpdump -i eth1 -w /tmp/xxx.cap

抓 192.168.1.123的包
tcpdump -i eth1 host 192.168.1.123 -w /tmp/xxx.cap

抓192.168.1.123的80端口的包
tcpdump -i eth1 host 192.168.1.123 and port 80 -w /tmp/xxx.cap

抓192.168.1.123的icmp的包
tcpdump -i eth1 host 192.168.1.123 and icmp -w /tmp/xxx.cap

抓192.168.1.123的80端口和110和25以外的其他端口的包
tcpdump -i eth1 host 192.168.1.123 and ! port 80 and ! port 25 and ! port 110 -w /tmp/xxx.cap

抓vlan 1的包
tcpdump -i eth1 port 80 and vlan 1 -w /tmp/xxx.cap

抓pppoe的密码
tcpdump -i eth1 pppoes -w /tmp/xxx.cap



以100m大小分割保存文件, 超过100m另开一个文件 -C 100m

抓10000个包后退出 -c 10000


后台抓包, 控制台退出也不会影响:
nohup tcpdump -i eth1 port 110 -w /tmp/xxx.cap &

抓下来的文件可以直接用ethereal 或者wireshark打开。 wireshark就是新版的ethereal,程序换名了,哈哈。

[原帖的位置显示]
[回复发言] 请将问题或阐述的内容简短地写在主题栏上来提高您的回帖关注度,避免使用“请问、救命、Re:”之类没有意义的主题!
发言者:
您的姓名: 密码: 本论坛采用简洁的注册方法:当第一次在论坛发言,请填写姓名、密码和email,此后就仅需填写姓名和密码了。email是用来将回复您的帖子通知给您设置的,请填写准确。
发言主题:

发言内容:

有人回复我的发言请Email通知我,我的email:
选择帖子标题前面的表情图标:
高兴大笑冷笑傻笑嘲讽尴尬冤枉晕倒
传情魔鬼注意主意请看赞成反对愤怒
大哭伤心呐喊闭嘴问题喜欢COOL打击
说谎转帖困倦惊恐庆祝联系晕了
校验码:  
在参加我们的技术讨论之前您必须仔细阅读并同意下列条款:

●自觉遵守:爱国、守法、自律、真实、文明的原则
●尊重网上道德,遵守《全国人大常委会关于维护互联网安全的决定》及 中华人民共和国其他各项有关法律法规
●严禁发表危害国家安全、破坏民族团结、破坏国家宗教政策、破坏社会稳定、侮辱、诽谤、教唆、淫秽等内容
●承担一切因您的行为而直接或间接导致的民事或刑事法律责任
●各栏目的版主有权保留或删除其管辖论坛中的任意内容
●您在这里发表的技术讨论内容,我们有权在网站内免费转载或引用
《全国青少年网络文明公约》

?技术论坛会员注册入口
?修改会员密码