tcpdump入门

常用指令,先用ifconfig查询网卡列表

#监听某个网卡
tcpdump -i ens33
#监听全部网卡
tcpdump -i any

#监听端口8080
tcpdump -i any port 8080
#监听端口8080和主机172.124.36.44（必须用and做连接，因为port和host是等价的）
tcpdum -i any port 8080 and host 182.124.36.44
#输出信息到pcap文件中：-w
tcpdump -i any port 8080 -w /tmp/20250711.pcap
#格式化日期
tcpdump tcp -nne port 8080 -w /tmp/$(date +%Y%m%d_%H%M).pcap

#指定抓包数量就停止：-c
tcpdump -i any -c 5

#以IP:Port的形式显示通信双方，
tcpdump -nn

#显示双方的mac地址
tcpdump -e

#以IP:Port的形式显示通信双方,并显示双方的mac地址
tcpdump -nne

#显示相对时间
tcpdump -ttt

#显示相对报文序号（seq、ack）
tcpdump -S

#只抓某个主机
tcpdump host 178.18.82.173

# 抓取经过网卡eth0，从主机172.18.82.173发出的包、发往主机172.18.82.173的包
tcpdump -i eth0 src host 172.18.82.173
tcpdump -i eth0 dst host 172.18.82.173