tcpdump

# tcpdump
tcpdump: listening on fxp0
11:58:47.873028 202.102.245.40.netbios-ns > 202.102.245.127.netbios-ns: udp 50

11:58:48.373134 0:0:e8:5b:6d:85 > Broadcast sap e0 ui/C len=97
使用-i参数指定tcpdump监听的网络界面，这在计算机具有多个网络界面时非常有用，
使用-c参数指定要监听的数据包数量，
使用-w参数指定将监听到的数据包写入文件中保存
A想要截获所有210.27.48.1 的主机收到的和发出的所有的数据包：
#tcpdump host 210.27.48.1
B想要截获主机210.27.48.1 和主机210.27.48.2 或210.27.48.3的通信，使用命令：（在命令行中适用　括号时，一定要
#tcpdump host 210.27.48.1 and \ (210.27.48.2 or 210.27.48.3 \)
C如果想要获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包，使用命令：
#tcpdump ip host 210.27.48.1 and ! 210.27.48.2
D如果想要获取主机210.27.48.1接收或发出的telnet包，使用如下命令：
#tcpdump tcp port 23 host 210.27.48.1
E 对本机的udp 123 端口进行监视 123 为ntp的服务端口
# tcpdump udp port 123

F 系统将只对名为hostname的主机的通信数据包进行监视。主机名可以是本地主机，也可以是网络上的任何一台计算机。下面的命令可以读取主机hostname发送的所有数据：
#tcpdump -i eth0 src host hostname
G 下面的命令可以监视所有送到主机hostname的数据包：
#tcpdump -i eth0 dst host hostname
H  我们还可以监视通过指定网关的数据包：
#tcpdump -i eth0 gateway Gatewayname
#tcpdump -i eth0 host hostname and port 80
#tcpdump ip host 210.27.48.1 and ! 210.27.48.2
K 想要截获主机210.27.48.1 和主机210.27.48.2 或210.27.48.3的通信，使用命令
：（在命令行中适用　括号时，一定要
#tcpdump host 210.27.48.1 and \ (210.27.48.2 or 210.27.48.3 \)
#tcpdump ip host 210.27.48.1 and ! 210.27.48.2
#tcpdump tcp port 23 host 210.27.48.1
#tcpdump –i eth0 host hostname and dst port 80  目的端口是80
#tcpdump –i eth0 host hostname and src port 80  源端口是80 很多在条件之前加and 或 or 或 not
#tcpdump -i eth0 host ! 211.161.223.70 and ! 211.161.223.71 and dst port 80


补充常见的抓包：
tcpdump -i eth0 -t tcp -s0 -w xx.cap
tcpdump -i lo -t tcp -s0 -w xx.cap
tcpdump tcp port 23 host 210.27.2.126
tcpdump udp port 123

网卡
tcpdump -i eth0 host 210.27.2.126 and port 8280 -s0 -w 8280.cap

回环
tcpdump -i lo host 210.27.2.126 and port 8280 -s0 -w 8280.cap

例題：如何使用 tcpdump 監聽 (1)來自 eth0 介面卡且 (2)通訊協定為 port 22 ，(3)目標來源為 192.168.1.100 的封包資料？

答：
tcpdump -i eth0 -nn 'port 22 and src host 192.168.1.100'

如果你想抓本机中对8280交互消息使用
tcpdump -i lo -nn -X 'port 8280'