linux 抓包命令tcpdump 和 工具tshark （简述）

tcpdump 命令：

tcpdump命令是linux系统自带的抓包命令，包含在$PATH环境变量的路径/usr/sbin中。

即：tcpdump  [option] [expression]

option选项（有很多，列举部分）：

-D   显示系统中的网卡（包含虚拟网卡）；

-c   count  当抓包数量达到count时，停止tcpdump进程；

-i   interface   指定抓包的网卡，interface为抓包的网卡名称，如：tcpdump -i em1 等，全部网卡 使用 -i  any 指代；

-w  file  将抓取的二进制数据包写入指定的file文件（注意写入file中的数据为二进制数据，包含数据包的协议数据）；（如果仅想得到概览信息，则需要将标准输出重定向到文件；因为标准输出上的是经过解析的协议文本数据。）

expression 过滤表达式：

限制源主机和目标主机

src host ( 10.0.0.1 or 10.0.0.2)  and dst host 10.0.0.3

抓包工具wireshark，命令行工具tshark 

相对于tcpdump，可以获得文件的数据包内容，但如果想将数据包内容导入到文件中，需要使用linux重定向。