Centos下的tcpdump抓包用法

      先查一下是否安装,  无的话装一下 (版本低的用yum install) :

rpm -qa tcpdump
dnf install tcpdump

1. 列出能抓包的网卡: 

tcpdump -D | --list-interfaces

2. 在eth0网卡上抓来源为10.1.1.1 的包, 只抓一个包 (-n这里是不解析DNS) :

tcpdump -i eth0 -n src 10.1.1.1 -c 1 -w cap1.cap

3. 抓端口为80的tcp包：

tcpdump tcp port 80 dst 10.1.1.1

4. 抓所有udp包：

tcpdump udp -v

5. 抓所有非ping包的icmp包:

tcpdump 'icmp-icmptype] != icmp-echo and icmp[icmptype] != icmp-echoreply'

6. 其它选项

-e                 #抓链路层头部包，包含mac

-# | --number        #显示行号

-I | --monitor-mode        #监控模式（杂收模式）

-B | --buffer-size=n        #抓包的缓冲区大小，以K为单位

-T type                #只抓指定格式的包，如cnfp、radius、rpc、snmp、tftp、vxlan...

-C file-size        #以M为单位

-A                        #ASCII模式

-q                #精简模式

-w file               #保存到文件

-v | -vv | -vvv        #详细|更详细|更更详细

-n                #不进行主机名解析（禁止dns查询）

-nn                 #不进行协议名和端口的解析

-N                #不进行域名的域解析

-r file                #读取一个cap文件