linux下TCPDUMP抓包工具

非图形化界面的时候，只能用命令行下面的


一般来说是安装好了的 


直接在shell界面下输入tcpdump


每一行显示的都是一个数据包


默认情况下不保存数据只显示


tcpdump -c 10
//只抓取10个数据包


 tcpdump -c 10 -w linux-cap.log
               -w为写入linux-cap.log，并且这个log只能用tcpdump打开 tcpdump linux-cap.log  
 这个log是大多数抓包软件都能读取。比如wirarshark 、sniffer


tcpdump 默认监听eth0


tcpdump -D 显示有多少块网卡


tcpdump -I eth0  指定抓取哪块网卡的流量


tcp -v  加的v越多，显示的东西越多




tcpdump -n    tcpdump大多数情况下是反解出域名，-n参数指定ip地址显示




tcpdump udp 指定显示udp流量
tcpdump tcp/udp/icmp 显示指定协议的流量


tcpdump port 80  抓取指定端口的流量
tcpdump portrange X-XX  指定抓取从X到XX的流量
tcpdump src port 或 tcpdump dst port 指定源端口或目的端口


tcpdump host （IP地址）


tcpdump greater 1000  如果有大流量冲击或黑客攻击时可以更容易分辨 
tcpdump less 10


tcpdump -A   tcpdump一般不显示数据包内容，tcpdump -A显示ASII 码
tcpdumo -A   显示ASII码和16进制


tcpdump tcp and src 192.168.1.1 and port 1000
          and可以用来多语句筛选


tcpdump src 192.168.1.1 or src 192.168.1.2 


                or可以用来或语句筛选