tcpdump 常用命令

tcpdump (-i eth0) (tcp/udp) (host hostname/192.168.1.100) (src/dst port (!) 80)

-i 指定网卡

选择tcp/udp

截取hostname/192.168.1.100收到所有包

源/目的端口80

以上为最常用命令  多个条件中间可以加 and  屏蔽条件可以加not 

src/dst portrange port1-port2

截取port1-port2范围内端口数据包

tcpdump 'gateway' snup and (port ftp or ftp-data)

截取所有通过网管snup的ftp数据包

tcpdump host 192.168.1.100 and  (192.168.1.101 or 192.168.1.102) 

tcpdump中的或

截取192.168.1.100与192.168.1.101或192.168.1.102通信的数据包

tcpdump 'tcp[tcpflags] & (tcp-syn|tcp-fin) != 0 and not src and dst net localnet'

截取tcp的syn/fin数据包

tcpdump  -XvvennSs 0 -i eth0 tcp[20:2]=0x4745 or tcp[20:2]=0x4854

截取HTTP数据包

0x4745->"GE"

0x4854->"HT"

-w filename   数据包内容写入文件

-r filename    读取