指定将每个监听到的数据包中的域名转换成IP、端口从应用名称转换成端口号后显示
-t
在输出的每一行不打印时间戳
-v
输出一个稍微详细的信息,例如在ip包中可以包括ttl和服务类型的信息
-vv
输出详细的报文信息
-c
在收到指定的包的数目后,tcpdump就会停止
-F
从指定的文件中读取表达式,忽略其它的表达式
-i
指定监听的网络接口
-p
将网卡设置为非混杂模式,不能与host或broadcast一起使用
-P
指定要抓取的包是流入还是流出的包。可以给定的值为"in"、"out"和"inout",默认为"inout"。
-r
从指定的文件中读取包(这些包一般通过-w选项产生)
-w
直接将包写入文件中,并不分析和打印出来
-T
将监听到的包直接解释为指定的类型的报文,常见的类型有rpc (远程过程调用)和snmp(简单网络管理协议)
-X
需要把协议头和包内容都原原本本的显示出来(tcpdump会以16进制和ASCII的形式显示),这在进行协议分析时是绝对的利器。
-XX
当分析和打印时, tcpdump 会打印每个包的头部数据, 同时会以16进制和ASCII码形式打印出每个包的数据, 其中包括数据链路层的头部.这对于分析一些新协议的数据包很方便.
Linux公社的RSS地址:https://www.linuxidc.com/rssFeed.aspx