tcpdump

tcpdump
tcpdump -n -e -i eth0 -X port 22

# 把捕获的包保存为文件(可以用 Wireshark 打开)
tcpdump -i eth0 -s 65535 -w capture.dump

参数

  • -n : 不反查 ip 为 hostname
  • -e : 捕获 ethernet frame(而不是 ip packet), 需要配合 -i
  • -i eth0 : 指定捕获网卡名
  • -X : 显示 packet content

filter

port not 22 and port not 443 and not arp and host 192.168.1.250

tcpdump in OpenWrt

可以用 ssh 管道远程连接 OpenWrt 路由器上的 tcpdump 配合 Wireshark 在图形化界面里抓包。(使用 Windows 10 自带的 ssh,建议先上传机器公钥)

ssh root@192.168.1.1 "tcpdump -ni wlan0 -s 0 -w - not port 22" | "C:\Program Files\Wireshark\Wireshark.exe" -k -i -

如果用密码登录,可以用 plink

plink.exe -ssh -pw password root@192.168.14.1 "tcpdump -ni wlan0 -s 0 -w - not port 22" | "C:\Program Files\Wireshark\Wireshark.exe" -k -i -

Last update: 2021-01-14 01:26:38 UTC