案例一:显示发送到某个 IP 地址的某个端口的网络数据包
# tcpdump -i any dst 192.168.0.1 and udp port 514(补充:这里以显示发送到 IP 地址 192.168.0.1 的 UDP 514 端口为例,如果有这类网络数据包的话则详细信息会在命令输出后显示出来)
案例二:显示从某个 IP 地址发送来的网络数据包
# tcpdump -vv src host 192.168.0.1(补充:这里以显示从 IP 地址 192.168.0.1 发送来的网络数据包为例,如果有这类网络数据包的话则详细信息会在命令输出后显示出来)
案例三:将所有抓到的网络数据包导入到某个文件里
# tcpdump -i any -w /tmp/telnet.cap(注意:此时会抓取所有的网络数据包,并保存到文件 /tmp/telnet.cap,想要退出则同时按下 “ctrl” 键和 “c” 键)
(补充:这里以将所有抓到的数据包导出到 /tmp/telnet.cap 文件为例)
案例四:将某个网卡抓到的网络数据包导入到某个文件里
# tcpdump -i eth0 -s 0 -w /tmp/$(hostname)-$(date +"%Y-%m-%d-%H-%M-%S").pcap host 192.168.1.1 and host 192.168.1.2(注意:此时会抓取所有的网络数据包,并保存到文件 /tmp/telnet.cap,想要退出则同时按下 “ctrl” 键和 “c” 键)
(补充:这里以将网卡 eth0 IP 地址是 192.168.1.1 和 192.168.1.2 抓到的数据包导出到 /tmp/$(hostname)-$(date +”%Y-%m-%d-%H-%M-%S”).pcap 文件为例)