1、监视指定网络接口的数据包

tcpdump -i eth1

2、监视指定主机的数据包
例如截获所有210.27.48.1 的主机收到的和发出的所有的数据包

tcpdump host 210.27.48.1

3、特定来源

tcpdump src host hostname

4、特定目标地址

tcpdump dst host hostname

5、特定端口

tcpdump port 3000

6、监听TCP/UDP
服务器上不同服务分别用了TCP、UDP作为传输层,假如只想监听TCP的数据包

tcpdump tcp

7、来源主机+端口+TCP
监听来自主机123.207.116.169在端口22上的TCP数据包

tcpdump tcp port 22 and src host 123.207.116.169

8、监听特定主机之间的通信

tcpdump ip host 210.27.48.1 and 210.27.48.2

9、抓取210.27.48.1除了和210.27.48.2之外的主机之间的通信

tcpdump ip host 210.27.48.1 and ! 210.27.48.2

10、限制抓包的数量
如下,抓到1000个包后,自动退出

tcpdump -c 1000

11、抓取来自 192.168.33.2 的 ping包:

tcpdump icmp and src host 192.168.33.2

12、抓取来此 eth0 网卡 8080端口的tcp协议数据包并保存为pcap(可以通过wireshark分析)

tcpdump tcp -i eth0 port 8080 -w ./HTTPPort.pcap
打赏
支付宝 微信
上一篇 下一篇