安装tcpdump包:yum install -y tcpdump ,不加”-i eth0”是表示抓取所有的接口包括lo。
1、抓取包含10.88.88.96的数据包
# tcpdump -i eth0 -vnn host 10.88.88.96
2、抓取包含172.16.1.0/24网段的数据包
# tcpdump -i eth0 -vnn net 172.16.1.0/24
3、抓取包含端口22的数据包
# tcpdump -i eth0 -vnn port 22
4、抓取udp协议的数据包
# tcpdump -i eth0 -vnn udp
5、抓取icmp协议的数据包
# tcpdump -i eth0 -vnn icmp
6、抓取arp协议的数据包
# tcpdump -i eth0 -vnn arp
7、抓取ip协议的数据包
# tcpdump -i eth0 -vnn ip
8、抓取源ip是10.88.88.96数据包。
# tcpdump -i eth0 -vnn src host 10.88.88.96
9、抓取目的ip是10.88.88.96数据包
# tcpdump -i eth0 -vnn dst host 10.88.88.96
10、抓取源端口是22的数据包
# tcpdump -i eth0 -vnn src port 22
11、抓取源ip是172.16.1.253且目的ip是22的数据包
# tcpdump -i eth0 -vnn src host 172.16.1.253 and dst port 22
12、抓取源ip是10.88.88.96或者包含端口是22的数据包
# tcpdump -i eth0 -vnn src host 10.88.88.96 or port 22
13、抓取源ip是10.88.88.96且端口不是22的数据包
[[email protected] ftp]# tcpdump -i eth0 -vnn src host 10.88.88.96 and not port 22
14、抓取源ip是172.16.1.2且目的端口是22,或源ip是172.16.1.65且目的端口是80的数据包。
# tcpdump -i eth0 -vnn srchost172.16.1.2anddstport22 or srchost172.16.1.65anddstport80
15、抓取源ip是172.16.1.59且目的端口是22,或源ip是172.16.1.68且目的端口是80的数据包。
# tcpdump -i eth0 -vnn ‘src host 172.16.1.59 and dst port 22‘ or ‘ src host 172.16.1.68 and dst port 80 ‘
16、抓取的数据包记录存到/tmp/fill文件中,当抓取1000个数据包后就退出程序。
# tcpdump –i eth0 -vnn -w /tmp/fil1 -c 1000
17、从/tmp/fill记录中读取tcp协议的数据包
# tcpdump –i eth0 -vnn -r /tmp/fil1 tcp
18、从/tmp/fill记录中读取包含172.16.1.58的数据包
# tcpdump –i eth0 -vnn -r /tmp/fil1 host 172.16.1.58
tcpdump 的抓包保存到文件的命令参数是-w xxx.cap
抓eth1的包
tcpdump -i eth1 -w /tmp/xxx.cap
抓 10.88.88.96的包
tcpdump -i eth1 host 10.88.88.96 -w /tmp/xxx.cap
抓10.88.88.96的80端口的包
tcpdump -i eth1 host 10.88.88.96 and port 80 -w /tmp/xxx.cap
抓10.88.88.96的80端口和110和25以外的其他端口的包
tcpdump -i eth1 host 10.88.88.96 and ! port 80 and ! port 25 and ! port 110 -w /tmp/xxx.cap
抓vlan 1的包
tcpdump -i eth1 port 80 and vlan 1 -w /tmp/xxx.cap
抓pppoe的密码
tcpdump -i eth1 pppoes -w /tmp/xxx.cap