- tcpdump 默认抓取第一个网卡的所有数据包
- tcpdump -i eth0 指定网卡
- tcpdump host 10.10.10.10 指定主机名或ip地址
- tcpdump host 10.10.10.1 and 10.10.10.2 两个主机之间的通信
- tcpdump host 10.10.10.1 and not 10.10.10.2 只抓取1的所有通信,除了和2的通信,not可改为!
- tcpdump src host 10.10.10.1 源地址为1的数据包
- tcpdump dst host 10.10.10.1 目的地址为2的数据包
- tcpdump port 8080 and host 10.10.10.1 同时指定主机和port
- -w ./catch.cap 生成wireshark抓包文件
- -t 不显示时间戳
- -c 100 只抓取100个数据包
- -s 0 抓包默认抓取长度为68字节,加上-s 0后可抓取完整包
- tcpdump总的的输出格式为:系统时间 来源主机.端口 > 目标主机.端口 数据包参数