tcpdump 小结

tcpdump -nn -v host 192.168.116.100 and port 22 and tcp

tcpdump -nn -i  eth0 src 192.168.1.85   and tcp   and port 80 -w test.cap

tcpdump -nn -i  eth0  icmp

tcpdump -i any -s0 port 88 -v -n | grep '10.11.63.22'

解释：

-i 指定抓包网卡  

-w 把数据包数据写入指定的文件

-nn  不把主机的网络地址与协议转换成名字，速度快

-s0 防止包被截断

读取数据包：

tcpdump -r  test.cap

tcpdump -n -r test.cap |awk '{print $3}' |sort -u

tcpdump -n  src host 10.1.1.1  -r test.cap 

tcpdump -n  dst host 10.1.1.1  -r test.cap 

tcpdump -n port 53 -r test.cap

tcpdump -nX port 53 -r test.cap