Linux工具tcpdump

1. 安装

$ sudo yum install tcpdump

2. 用法

$ sudo tcpdump -i any host 192.168.1.1 and port 8888

保存为pcap文件在Wireshark上打开查看:

$ sudo tcpdump -i any host 192.168.1.1 and port 8888 -w path/to/tmp.pcap        

过滤主机:

$ sudo tcpdump -i eth1 src host 192.168.1.1   # 源主机地址为192.168.1.1
$ sudo tcpdump -i eth1 dst host 192.168.1.1   # 目的主机地址为192.168.1.1
$ sudo tcpdump -i eth0     host 192.168.1.1         # 源或者目的主机地址为192.168.1.1

过滤端口:

$ sudo tcpdump -i eth1 src port 8888     # 源端口是8888
$ sudo tcpdump -i eth1 dst port 8888     #目的端口是8888
$ sudo tcpdump -i eth0     port 8888           # 源或者目的端口是8888

3. 参数

-i：指定接口
可以使用-D参数列出所有的接口，any指定任意接口。

$ sudo tcpdump -D