tcpdump命令

‘壹’ tcpmp抓包命令

1、tcpmp：默认启动。普通情况下，直接启动tcpmp将监视第一个网络接口上所有流过的数据包。

2、tcpmp -i eth1：监视指定网络接口的数据包，如果不指定网卡，默认tcpmp只会监视第一个网络接口，一般是eth0，下面的例子都没有指定网络接口。

3、tcpmp host sundown：监视指定主机的数据包。打印所有进入或离开sundown的数据包。

4、tcpmp -i eth0 src host hostname：截获主机hostname发送的所有数据。

5、tcpmp -i eth0 dst host hostname：监视所有送到主机hostname的数据包。

6、tcpmp tcp port 23 and host 210.27.48.1：如果想要获取主机210.27.48.1接收或发出的telnet包。

7、tcpmp udp port 123：对本机的udp 123端口进行监视123为ntp的服务端口。

‘贰’ TCPDUMP 抓包 怎么查看 抓的包的内容

1、tcpmp检测登录linux系统输入tcpmp，如果找不到表示没有安装。也可以用rpm查询。

‘叁’ tcpmp命令执行需要多久

tcpmp不会退出
它是实时监控网卡数据的
直到你按ctrl C退出为止。
否则 就会一直监控下去。
类似于logcat

‘肆’ windows下的tcpmp命令是什么

windows下没有TCPDUMP命令。。。
如果你想用tcpmp，可以装个虚拟机。。
我当初学TCPIP详解时，就是这样的。。

不过windows下用可视化的捕包软件，学习起来方便，快捷。。
比如说：omni peek或sniffer pro （网上一搜就是了。。）
unix下的可视化 也可以用wireshark。

推荐装个虚拟机吧

‘伍’ win10 怎么使用tcpmp命令

tcpmp -i： 后跟网卡名；
host：后跟主机IP；

-a —— 将网络地址和广播地址转变成名字；
-c —— 指定抓取的数据包数量；
-n：不把主机IP转为主机名；
-r：指定从某个文件中读取数据包；
-e：指定将监听到的数据包链路层的信息打印出来，包括源mac和目的mac，以及网络层的协议；
-nn：不把ip、协议、端口等转为名字；
-T —— 将监听到的包直接解释为指定的类型的报文，常见的类型有rpc （远程过程调用）和snmp（简单网络管理协议）；
-w —— 直接将包写入文件中，并不分析和打印出来；
and：条件筛选，包含两个地址；
or：条件筛选，两个之中的一个；
src：后跟起始地址；
dst：后跟目的地址；

‘陆’ tcpmp 抓包命令 参数求解释

方法/步骤

默认系统里边没有安装有tcpmp的，无法直接使用

这里我们可以使用yum来直接安装它
yum install -y tcpmp

如果忘记了这个软件的用法，我们可以使用 tcpmp --help 来查看一下使用方法

一般我们的服务器里边只有一个网卡，使用tcpmp可以直接抓取数据包，但是这样查看太麻烦了，所以都会添加参数来进行获取的。
例如我截取本机（192.168.31.147）和主机114.114.114.114之间的数据
tcpmp -n -i eth0 host 192.168.31.147 and 114.114.114.114

还有截取全部进入服务器的数据可以使用以下的格式
tcpmp -n -i eth0 dst 192.168.31.147
或者服务器有多个IP 可以使用参数
tcpmp -n -i eth0 dst 192.168.31.147 or 192.168.31.157

我们抓取全部进入服务器的TCP数据包使用以下的格式，大家可以参考下
tcpmp -n -i eth0 dst 192.168.31.147 or 192.168.31.157 and tcp
从本机出去的数据包
tcpmp -n -i eth0 src 192.168.31.147 or 192.168.31.157
tcpmp -n -i eth0 src 192.168.31.147 or 192.168.31.157 and port ! 22 and tcp

或者可以条件可以是or 和 and 配合使用即可筛选出更好的结果。

‘柒’ 为什么linux中无法使用tcpmp命令

你是否在root用户执行的？网络监听需要root权限，切换到root用户下就可以正常使用了。
如果还不行，那就需要自己安装，安装方法如下：
1.网上下载获得libpcap和tcpmp
http://www.tcpmp.org/

2.安装c编译所需包：apt-get install build-essential

3.安装 libpcap的前置：apt-get install flex,apt-get install bison

4.安装libpcap。

tcpmp的使用必须有这库。

tar xvfz libpcap-1.2.1.tar.gz //解压

进入解压之后的文件目录 运行./configure //生成makefile文件

make //进行编译

make install //安装 库文件默认安装在目录 /usr/lib,头文件默认安装在 /usr/include

3.安装tcpmp

tar xvfz tcpmp.4.2.1.tar.gz //解压

进入解压之后的文件目录 运行./configure //生成makefile文件

make //进行编译

make install //安装 库文件默认安装在目录 /usr/lib,头文件默认安装在 /usr/include

‘捌’ 如何用tcpmp命令截完整的数据包

tcpmp是一个用于截取网络分组，并输出分组内容的工具。tcpmp凭借强大的功能和灵活的截取策略，使其成为类UNIX系统下用于网络分析和问题排查的首选工具。

‘玖’ 如何停止tcpmp抓包

tcpmp是一个非常有效的命令行的抓包工具。但是，一旦开启后，tcpmp会一直进行抓包。如果用户要停止抓包，必须手动按下Ctrl+C快捷键。用户也可以使用-c参数指定抓包的数量。当数量达到时，tcpmp会自动停止抓包，并退出。

‘拾’ linux shell 想写个脚本，让tcpmp命令抓包并写入文件，执行指定时间后结束进程，然后再开始新一轮抓包

datetime=`date +%F-%H:%M:%S` 这个去掉

抓包改成
tcpmp -i eth2 -w ./`date +%F-%H:%M:%S` &

或者把 datetime=`date +%F-%H:%M:%S` 放到循环里面