tcpdump常用抓包
下面的例子全是以抓取ens33接口为例，如果不加”-i ens33”是表示抓取所有的接口包括lo。
首先安装tcpdump包：yum install -y tcpdump

1、抓取包含192.168.2.31的数据包

	tcpdump -i ens33 -vnn host 192.168.2.31

2、抓取包含192.168.2.0/24网段的数据包

	tcpdump -i ens33 -vnn net 192.168.2.0/24

3、抓取包含端口22的数据包

	tcpdump -i ens33 -vnn port 22

4、抓取udp协议的数据包

	tcpdump -i ens33 -vnn  udp

5、抓取icmp协议的数据包

	tcpdump -i ens33 -vnn icmp

6、抓取arp协议的数据包

	tcpdump -i ens33 -vnn arp

7、抓取ip协议的数据包

	tcpdump -i ens33 -vnn ip

8、抓取源ip是192.168.2.31数据包。

	tcpdump -i ens33 -vnn src host 192.168.2.31

9、抓取目的ip是192.168.2.31数据包

	tcpdump -i ens33 -vnn dst host 192.168.2.31

10、抓取源端口是22的数据包

	tcpdump -i ens33 -vnn src port 22

11、抓取源ip是192.168.2.253且目的ip是22的数据包

	tcpdump -i ens33 -vnn src host 192.168.2.253 and dst port 22

12、抓取源ip是192.168.2.31或者包含端口是22的数据包

	tcpdump -i ens33 -vnn src host 192.168.2.31 or port 22

13、抓取源ip是192.168.2.31且端口不是22的数据包

	[root@ ftp]# tcpdump -i ens33 -vnn src host 192.168.2.31 and not port 22

14、抓取源ip是192.168.2.2且目的端口是22，或源ip是192.168.2.65且目的端口是80的数据包。

	tcpdump -i ens33 -vnn \( src host 192.168.2.2 and dst port 22 \) or   \( src host 192.168.2.65 and dst port 80 \)

15、抓取源ip是192.168.2.59且目的端口是22，或源ip是192.168.2.68且目的端口是80的数据包。

	 tcpdump -i  ens33 -vnn 'src host 192.168.2.59 and dst port 22' or  ' src host 192.168.2.68 and dst port 80 '

16、把抓取的数据包记录存到/tmp/fill文件中，当抓取100个数据包后就退出程序。

	tcpdump –i ens33 -vnn -w  /tmp/fil1 -c 100

17、从/tmp/fill记录中读取tcp协议的数据包

	tcpdump –i ens33 -vnn -r  /tmp/fil1 tcp

18、从/tmp/fill记录中读取包含192.168.2.58的数据包

	tcpdump –i ens33 -vnn -r  /tmp/fil1 host  192.168.2.58