tcpdump命令实际操一-抓获数据包

写的只是自己使用中具体用到的。具体参数没有写，要了解深入的请看man手册
通常情况下应该是监控的外网的访问先使用命令看看你对应的网卡是哪个

ifconfig

nsa8ea6913-cb Link encap:Ethernet  HWaddr FA:16:3E:D1:E6:61 
          inet addr:192.168.104.141  Bcast:192.168.104.255  Mask:255.255.255.0
          inet6 addr: fe80::f816:3eff:fed1:e661/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1478937489 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1421950313 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:695168020202 (647.4 GiB)  TX bytes:415633205696 (387.0 GiB)

监听网卡nsa8ea6913-cb

tcpdump -i nsa8ea6913-cb

监听指定协议的数据,用来监听tcp协议的数据,如果要监听icmp或者是udp协议，只需要修改上例的icmp就可以了

tcpdump -i nsa8ea6913-cb -nn 'tcp'

看看抓获数据包的具体说明，如果看到乱码可以试试关闭apache的gzip
抓到包的时间

IP

发包的主机和端口 > 接收的主机和端口

数据包内容

监听主机
监听指定的主机接手和发送的数据包

tcpdump -i nsa8ea6913-cb -nn 'host 192.168.104.141'

只有192.168.104.141这台主机发送的包才会被抓获

tcpdump -i nsa8ea6913-cb -nn 'src host 192.168.104.141'

只有192.168.104.141接收数据包才被抓获

tcpdump -i nsa8ea6913-cb -nn 'dst host 192.168.104.141'

监听指定端口
结合-A参数监听某个端口的所有的数据包，这个我常常使用

 tcpdump -i nsa8ea6913-cb -nnA 'port 80'

监听指定主机和端口
多个条件匹配主机和端口使用and，or连接

tcpdump -i nsa8ea6913-cb -nnA 'port 80 and src host 192.168.1.231'

指定数据包的网络地址

tcpdump -i nsa8ea6913-cb -nnA 'src net 192.168.104.141/80'

监听除某个端口外的其它端口

tcpdump -i nsa8ea6913-cb -nnA '!port 22

'

请求的相关参数说明
-i  interface
    指定tcpdump 需要监听的接口.  如果没有指定, tcpdump 会从系统接口列表中搜寻编号最小的已配置好的接口(不包括 loopback 接口).
-A 
    以ASCII码方式显示每一个数据包(不会显示数据包中链路层头部信息). 在抓取包含网页数据的数据包时, 可方便查看数据(nt: 即Handy for capturing web pages).
-c  count
    tcpdump将在接受到count个数据包后退出.