tcpdump是一個用來抓包的命令。老哥也是在無意間發現，自己的機器被別人攻擊了！

1、抓取所有經過網絡卡1，目的地為172.18.253.199的包。

[[email protected] ~]# tcpdump -i ens33 host 172.18.253.199

2、抓取所有經過網絡卡1，埠為80的包。

[[email protected] ~]# tcpdump -i ens33 dst port 80

3、

抓取本地環路資料包 

抓取UDP資料

[[email protected] ~]# tcpdump -i lo udp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
 

抓取埠1234的UDP資料

[[email protected] ~]# tcpdump -i lo udp port 1234
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes

抓取埠1234的資料 
 

[[email protected] ~]# tcpdump -i lo port 1234
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
 

特定協議特定埠： 

抓取所有經過1234埠的UDP網路資料 
 

[[email protected] ~]# tcpdump udp port 1234
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on virbr0, link-type EN10MB (Ethernet), capture size 262144 bytes

抓取特定型別的資料包： 

抓取所有經過網絡卡1的SYN型別資料包
tcpdump -i eth1 udp dst port 53
抓取經過網絡卡1的所有DNS資料包（預設埠） 
 

邏輯語句過濾： 
tcpdump -i eth1 ‘((tcp) and ((dst net 172.16) and (not dst host 192.168.1.200)))’
抓取所有經過網絡卡1，目的網路是172.16，但目的主機不是192.168.1.200的TCP資料 
 

抓包存取： 
tcpdump -i eth1 host 172.16.7.206 and port 80 -w /tmp/xxx.cap
抓取所有經過網絡卡1，目的主機為172.16.7.206的埠80的網路資料並存儲