語法：

tcpdump [options] [not] proto dir type

?

案例tcpdump -i eth0 host 192.168.1.1 and icmp -n -w /tmp/test1.cap -c 10意思：抓取eth0 并且是192.168.1.1地址的icmp包，不做主機解析 ，抓包文件保存至/tmp/test.cap ，共抓10個包 常用option-w：將抓包數據輸出到文件中而不是標準輸出，輸出的格式是.cap 如：-w test.cap。-c：指定要抓取的包數量。-i interface：指定抓取接口。-v：當分析和打印的時候，產生詳細的輸出。-n：對地址以數字方式顯式，否則顯式為主機名，也就是說-n選項不做主機名解析。tcpdump的表達式由一個或多個"單元"組成，三種表達式：1.proto：通過給定協議限定匹配的數據包類型。常用的協議有tcp/udp/arp/ip/ether/icmp等，若未給定協議類型，則匹配所有可能的類型。例如："tcp port 21"，"udp portrange 7000-7009"。除了使用修飾符和ID組成的表達式單元，還有關鍵字表達式單元：gateway，broadcast，less，greater以及算術表達式。2.dir：指定ID的方向。可以給定的值包括src/dst/src or dst/src and dst，默認為src or dst。例如："src foo"表示源主機為foo的數據包，"dst net 128.3"表示目標網絡為128.3的數據包，"src or dst port 22"表示源或目的端口為22的數據包。3.type：指定ID的類型。可以給定的值有host/net/port/portrange，默認的type為host。例如"host foo"，"net 128.3"，"port 20"，"portrange 6000-6008"。表達式與表達式之間可以使用操作符" and / && / or / || / not / ! "進行連接，

?

轉載于:https://www.cnblogs.com/--smile/p/11102566.html

總結

以上是生活随笔為你收集整理的常用命令之------tcpdump的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。