监听定源地址和目的地址之间的ICMP包(ens33网卡)
[root@sre01 yum.repos.d]# tcpdump -i ens33 -nn icmp and src host 192.168.236.100 and dst host 223.5.5.5
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ens33, link-type EN10MB (Ethernet), capture size 262144 bytes
14:43:25.242499 IP 192.168.236.100 > 223.5.5.5: ICMP echo request, id 1772, seq 62, length 64
监听指定主机上进出的所有包
[root@sre01 yum.repos.d]# tcpdump host 192.168.236.100
监听指定来源主机的包
[root@sre01 yum.repos.d]# tcpdump src host 192.168.236.100
监听指定目标主机的包
[root@sre01 yum.repos.d]# tcpdump dst host 192.168.236.100
监听指定IP地址和指定端口的流量
[root@sre01 yum.repos.d]# tcpdump tcp port 22 and src host 192.168.236.100
监听特定主机之间的流量
[root@sre01 yum.repos.d]# tcpdump ip host 192.168.236.100 and 192.168.236.1
监听指定主机192.168.236.100和非192.168.236.1主机之间的流量
[root@sre01 yum.repos.d]# tcpdump ip host 192.168.236.100 and ! 192.168.236.2
[root@sre01 yum.repos.d]# tcpdump tcp -i ens33 -t -s 0 -c 100 and dst port ! 22 and src net 192.168.236.0/24 -w ./tcpd
umpdata.cap
- tcp、udp、icmp、ip、arp、rarp参数需要放在第一的位置,用来指定需要过滤的协议
- -i 用于指定抓取数据包的网络接口
- -t表示不显示时间戳
- -s 0用于兼容tcpdump的旧版本
- -c 100 表示只抓取100个数据包
- dst port ! 22 表示不抓取目标端口是22的数据包
- src net 192.168.236.0/24 指定数据包的源地址
- -w ./tcpdumpdata.cap 表示将结果存在指定文件中,用于未来导入wireshark分析