常用参数说明
-i 监听指定网卡的流量
-w 监听到的流量保存到本地
默认启动
sudo tcpdump
捕获第一个网卡发送和接受的流量
捕获指定网络接口的流量
sudo tcpdump -i ens33
抓取网卡ens33的流量
监视指定主机的流量
sudo tcpdump host 192.168.64.128
捕获经过主机192.168.64.128的进出流量
sudo tcpdump host 192.168.64.128 and 14.215.177.39
捕获主机192.168.64.128和主机14.215.177.39之间的交互流量
sudo tcpdump host 192.168.64.128 and ! 14.215.177.39
捕获主机192.168.64.128除了和14.215.177.39外的所有主机的交互流量
sudo tcpdump -i ens33 src host 192.168.64.128
捕获从网卡ens33的主机192.168.64.128发送出去的所有流量
sudo tcpdump -i ens33 dst host 192.168.64.128
捕获从网卡ens33的主机192.168.64.128接收到的所有流量
监听指定网卡的主机和端口的交互的流量
sudo tcpdump -i ens33 'tcp port 443 and host 14.215.177.39' and 192.168.64.128
sudo tcpdump -i ens33 \(tcp port 443 and host 14.215.177.39)\ and 192.168.64.128
# \( \) 和 ' ' , 斜杠表示转义符,在括号()内的算作一组语句,两个单引号''之间的算作一组语句,
# 这样做的原因防止shell对其进行错误的解析
监听指定协议的流量
sudo tcpdump -i ens33 icmp
监听icmp协议的流量
sudo tcpdump -i ens33 icmp -w ./icmp_packet.cap
监听icmp协议的流量,并且保存到当前目录下,命名为icmp_packet.cap
按Ctrl+c 保存