cap命令

① linux下如何抓指定IP的包

用tcpm命令可以抓指定IP的包，具体命令为：

tcpmp tcp -i eth1 -t -s 0 -c 100 and dst port 22 and src net 192.168.1.1 -w ./target.cap

参数解析：

tcp: ip icmp arp rarp 和 tcp、udp、icmp这些选项等都要放到第一个参数的位置，用来过滤数据报的类型。

-i eth1 : 只抓经过接口eth1的包

-t : 不显示时间戳

-s 0 : 抓取数据包时默认抓取长度为68字节。加上-S 0 后可以抓到完整的数据包

-c 100 : 只抓取100个数据包

dst port 22 : 抓取目标端口是22的数据包

src net 192.168.1.0/24 : 数据包的源网络地址为192.168.1.1

-w ./target.cap : 保存成cap文件，方便用ethereal(即wireshark)分析

(1)cap命令扩展阅读

tcpmp语法格式：

tcpmp [-adeflnNOpqStvx][-c<数据包数目>][-dd][-ddd][-F<表达文件>][-i<网络界面>][-r<数据包文件>][-s<数据包大小>][-tt][-T<数据包类型>][-vv][-w<数据包文件>][输出数据栏位]

tcpmp主要参数说明：

1、-a 尝试将网络和广播地址转换成名称。

2、-c<数据包数目> 收到指定的数据包数目后，就停止进行倾倒操作。

3、-d 把编译过的数据包编码转换成可阅读的格式，并倾倒到标准输出。

4、-dd 把编译过的数据包编码转换成C语言的格式，并倾倒到标准输出。

5、-ddd 把编译过的数据包编码转换成十进制数字的格式，并倾倒到标准输出。

6、-e 在每列倾倒资料上显示连接层级的文件头。

7、-f 用数字显示网际网络地址。

8、-F<表达文件> 指定内含表达方式的文件。

9、-i<网络界面> 使用指定的网络截面送出数据包。

10、-l 使用标准输出列的缓冲区。

11、-n 不把主机的网络地址转换成名字。

12、-N 不列出域名。

② 在linux命令行环境下如何抓取网络数据包

  众所周知，在Windows下开发运行环境下，在调试网络环境时，可以可以很方便的借助wireshark等软件进行抓包分析；并且在linux或者Ubuntu等桌面版里也可以进行安装抓包工具进行抓包分析，但总有一些情况，无法直接运用工具（比如一些没有界面的linux环境系统中），则此时我们就需要使用到最简单的tcpmp命令进行网络抓包。

  一般的，linux下抓包时，抓取特定的网络数据包到当前文件夹下的文件中，再把文件拷贝出来利用Windows下的wireshark软件进行分析。

tcpmp命令详解：（简单举例）

  1、抓取到的文件为filename.cap，然后将此文件拷贝到Windows下，使用wireshar打开后，即可对此文件进行分析。
  2、eth0 是主机的网络适配器名称，具体的参数值可以在linux命令行窗口中通过 ifconfig 指令查询。