tcpdump 基於mac地址抓取封包

1、剛剛接觸tcpdump時，常用tcpdump -i eth1 host 192.168.1.1 這個命令基於ip地址抓取封包資訊。

tcpdump -i eth1(介面名稱) host 192.168.1.1(計算機IP地址) 

2、在分析客戶的網路中，經常會用到裝置中自帶的tcpdump軟體，再配合PC端的wireshark軟體來簡單檢查分析客戶的網路情況。

這時候經常用到的tcpdump引數為：

tcpdump -i eth1 -nn(不做地址解析)   -s0(抓取封包長度不限制)    -v(顯示詳細資訊，需要顯示更詳細資訊，可再加兩個)  -e (列出鏈路層頭部) -c  20 (抓取指定個數的封包，比如此處寫20個，則為抓取20個包就停止)

如果不加 -n 引數的話，抓取的封包會顯示主機名或者域名資訊，埠也會顯示為相關的服務，如抓80埠，會顯示為http

如果不加-s0引數的話，預設只抓取一部分（68位元組），則封包在wireshark中開啟，會顯示封包不完整

3、在分析dhcp封包的互動（IP地址下發），arp攻擊等問題時，會涉及到鏈路層頭部的抓取，也就是mac地址。抓取命令為

tcpdump -i eth1 ether src 6c:41:6a:ac:11:42 -c 10   // 在介面eth1上，抓取源mac地址為6c:41:6a:ac:01:42的封包，個數為10

本文永久更新連結地址：http://www.linuxidc.com/Linux/2016-10/136080.htm