tcpdump:网络嗅探器：可以将网卡设置为混杂模式（promisc）,抓包工具，抓取网络报文,只能抓取与自己有通信时的主机

tcpdump（类似的工具有tshark,wireshark:需要单独安装yum安装，图形化工具为wireshark-gnome）

  -i interface:指定网卡接口

  -w file:抓取后保存到哪个文件中，默认输出在屏幕中

  -nn：第一个n表示把ip地址显示为数字格式(默认是显示主机名)，第二个n表示把协议显示为数字格式

  -X:分别以包（16进制）和ASCII码2种方式显示头部

  -A:仅以ASCII显示

  -XX:显示链路层相关的首部信息

  -v:表示详细信息

  -vv：表示更详细的信息

  -r file:读取文件进行分析

  expression:

    type(类型):

    host:抓取某个主机的报文

    net：抓取某个网络段的报文 例：net 192.168.

    port：抓取固定端口的报文

    portrange：抓取端口范围的报文  例：portrange 6000-6008

  dir(流向)：

    src：源地址 例：src

    dst：目标地址

    src or dst：源或者目标都行

    src and dst：必须同时满足源和目标

  proto(协议):

    ether(以太网)

    wlan(无线)

    ip

    arp

    tcp

    udp

  例如：tcpdump -i eth0 tcp dst port 80 -nn（抓取目标端口为80的所有数据）

     tcpdump -i eth0 -nn (dst) host 172.16.100.6(抓取目标主机为172.16.100.6的通信数据)

组合条件：and, or, not

  例如：探测ip为6与73主机的通信

  tcpdump -i eth0 -nn host 172.16.100.6 and 172.16.200.73

  例如：探测ip为6与73主机，或者6与77主机的通信

  tcpdump -i eth0 -nn 172.16.100.6 and \(172.16.200.73 or 172.16.100.77\)

本文出自 “激情燃烧的岁月” 博客，请务必保留此出处http://liuzhengwei521.blog.51cto.com/4855442/1926751

tcpdump使用简介