Linux tcpdump抓包命令常用参数

普通情况下，直接启动tcpdump将监视第一个网络接口上所有流过的数据包。
tcp、udp、ip、icmp、arp、rarp选项等都要放到第一个参数的位置，用来过滤数据报的类型
-i eth1 : 只抓经过接口eth1的包
-t : 不显示时间戳
-s 0 : 抓取数据包时默认抓取长度为68字节。加上-s 0 后可以抓到完整的数据包
-c 100 : 只抓取100个数据包
dst port 22 : 只抓取目标端口是22的数据包
dst port ! 22 : 不抓取目标端口是22的数据包
src net 192.168.1.0/24 : 数据包的源网络地址为192.168.1.0/24
-w ./target.cap : 保存成cap文件，方便用ethereal(即wireshark)分析
tcpdump host ip/hostname : 只抓取指定ip/hostname来源的数据包
tcpdump ip host ip1 and ! ip2 : 只抓取主机ip1除了和主机ip2之外所有主机通信的ip数据包
tcpdump host ip1 and ( ip2 or ip3 ) : 只抓取主机ip1与ip2或者ip3之间的数据包，注意括号前要加转义符
tcpdump udp port 123 : 只抓取本机123端口发出的udp数据包
tcpdump tcp port 23 host ip1 : 只抓取主机ip1的23端口接收或发出的tcp数据包