tcpdump

用途：不间断监控网络通信数据包

常用选项：-qnn 可简化输出

-w

-r

-n：不把网络地址转换成名字

-nn：直接以IP及port number显示，而非主机名与服务名称

-i：指定监听的网络接口，例如eth0

-q：仅列出较为简单的封包信息，每一行的内容比较精简

-X：可以列出十六进制以及ASCII的封包内容，对于监听

-v -vv -vvv    

过滤主机

host：源IP或者目标IP   host 10.1.1.1

src host：源IP

dst host：目标IP

ether host：源或者目标MAC地址

过滤端口

port：源端口或者目标端口，也可以搭配src和dst

过滤网络

net：网络地址，也可以搭配src和dst net 172.18

协议过滤

arp ip icmp udp tcp

常用表达式

非：! = not

且：&& = and

或：|| = or

    $ tcpdump -i eth0 -nn port 22 and src host 10.10.10.10
    $ tcpdump -i eth0 icmp and ether dst host 00:11:22:33:44:55
    $ tcpdump -i eth0 tcp and dst net 172.18 and not dst host 172.18.1.100
    $ tcpdump -i eth0 -nn -vv port 67 and udp
    $ tcpdump -i eth0 -q -n arp
    $ tcpdump -i eth0 -v -n icmp and host 10.0.2.226
    $ tcpdump -i eth0 -v -n udp and port 53