如何优雅地使用tcpdump

tcpdump -i eth1

抓取eth1网卡的包，如果不指定网卡，一般就抓默认的网卡eth0

tcpdump host ali

与主机名为ali的流入或流出的包

tcpdump host 198.11.182.11

抓指定ip的包

tcpdump host 198.11.182.11 and 8.8.8.8

抓这两个ip之间往来的包

tcpdump host 198.11.182.11 and \( 8.8.8.8 or 8.8.4.4 \)

抓 198与8.8或8.4之间的往来包

tcpdump host 198.11.182.11 and not 8.8.8.8

不抓8.8的包，也可以用“！”代替 “not”

tcpdump ip host 198.11.182.221 and 8.8.8.8

抓两机之间的ip包

tcpdump src 198.11.182.221 and dst 8.8.8.8

抓198.11.182.221发往8.8.8.8的包

tcpdump udp port 53

抓本机53端口出入的udp包

tcpdump tcp port 80 and host 198.11.182.221

抓198主机的80端口出入的tcp包

tcpdump -i eth1 -w ./net.cap

抓到的包放入net.cap文件中，供给wireshark分析

tcpdump tcp -i eth1 -t -s 0 -c 100 and dst port ! 22 and src net 192.168.1.0/24 -w ./target.cap

(1)tcp: ip icmp arp rarp 和 tcp、udp、icmp这些选项等都要放到第一个参数的位置，用来过滤数据报的类型

(2)-i eth1 : 只抓经过接口eth1的包

(3)-t : 不显示时间戳

(4)-s 0 : 抓取数据包时默认抓取长度为68字节。加上-S 0 后可以抓到完整的数据包

(5)-c 100 : 只抓取100个数据包

(6)dst port ! 22 : 不抓取目标端口是22的数据包

(7)src net 192.168.1.0/24 : 数据包的源网络地址为192.168.1.0/24

(8)-w ./target.cap : 保存成cap文件，方便用ethereal(即wireshark)分析