先查一下是否安装, 无的话装一下 (版本低的用yum install) :
rpm -qa tcpdump
dnf install tcpdump
1. 列出能抓包的网卡:
tcpdump -D | --list-interfaces
2. 在eth0网卡上抓来源为10.1.1.1 的包, 只抓一个包 (-n这里是不解析DNS) :
tcpdump -i eth0 -n src 10.1.1.1 -c 1 -w cap1.cap
3. 抓端口为80的tcp包:
tcpdump tcp port 80 dst 10.1.1.1
4. 抓所有udp包:
tcpdump udp -v
5. 抓所有非ping包的icmp包:
tcpdump 'icmp-icmptype] != icmp-echo and icmp[icmptype] != icmp-echoreply'
6. 其它选项
-e #抓链路层头部包,包含mac
-# | --number #显示行号
-I | --monitor-mode #监控模式(杂收模式)
-B | --buffer-size=n #抓包的缓冲区大小,以K为单位
-T type #只抓指定格式的包,如cnfp、radius、rpc、snmp、tftp、vxlan...
-C file-size #以M为单位
-A #ASCII模式
-q #精简模式
-w file #保存到文件
-v | -vv | -vvv #详细|更详细|更更详细
-n #不进行主机名解析(禁止dns查询)
-nn #不进行协议名和端口的解析
-N #不进行域名的域解析
-r file #读取一个cap文件