? ? ? 先查一下是否安裝,? 無的話裝一下 (版本低的用yum install) :

rpm -qa tcpdump
dnf install tcpdump

1. 列出能抓包的網卡:?

tcpdump -D | --list-interfaces

2. 在eth0網卡上抓來源為10.1.1.1 的包, 只抓一個包 (-n這里是不解析DNS) :

tcpdump -i eth0 -n src 10.1.1.1 -c 1 -w cap1.cap

3. 抓端口為80的tcp包：

tcpdump tcp port 80 dst 10.1.1.1

4. 抓所有udp包：

tcpdump udp -v

5. 抓所有非ping包的icmp包:

tcpdump 'icmp-icmptype] != icmp-echo and icmp[icmptype] != icmp-echoreply'

6. 其它選項

-e? ? ? ? ? ? ? ? ?#抓鏈路層頭部包，包含mac

-# | --number? ? ? ? #顯示行號

-I | --monitor-mode? ? ? ? #監控模式（雜收模式）

-B | --buffer-size=n? ? ? ? #抓包的緩沖區大小，以K為單位

-T type? ? ? ? ? ? ? ? #只抓指定格式的包，如cnfp、radius、rpc、snmp、tftp、vxlan...

-C file-size? ? ? ? #以M為單位

-A? ? ? ? ? ? ? ? ? ? ? ? #ASCII模式

-q? ? ? ? ? ? ? ? #精簡模式

-w file? ? ? ? ? ? ? ?#保存到文件

-v | -vv | -vvv? ? ? ? #詳細|更詳細|更更詳細

-n? ? ? ? ? ? ? ? #不進行主機名解析（禁止dns查詢）

-nn? ? ? ? ? ? ? ? ?#不進行協議名和端口的解析

-N? ? ? ? ? ? ? ? #不進行域名的域解析

-r file? ? ? ? ? ? ? ? #讀取一個cap文件