tcpdump

tcpdump -Xnns 2048  host 192.168.109.2 and tcp port 80 or port 443 -w /aclog/zwj.pcap 

 

• -n 不转换主机地址为主机名，这样可以避免DNS查找
• -nn 在上面的基础上不进行端口名字别名的转换
• -S 打印绝对的TCP时序数字(sequence number)
• -X 以16进制和ASCII两种方式打印抓取到的数据包
• -s 指定从每一个TCP数据包的抓取多少字节，默认从每一个TCP数据包中抓取68字节，最多为65536字节。本例中为2048字节。（这个很重要，好像默认只有1024，导致很多包抓不下来）。
• -w 写入到某个文件中。

tcpdump -i ens39 -nn -X 'port 22' -c 1

-i  : 即interface，用来指定网络接口，指定监控的网卡。
-nn : 当tcpdump遇到协议号或端口号时，不要将这些数字转换成对应的协议名称或端口名称。比如：希望显示 22 ，而不是 ssh。
-X ：需要把协议头和包内容都原原本本地显示出来，tcpdump会同时以16进制和ASCII的形式显示，这在进行协议分析时是绝对的利器。
port 22 : 只抓取源端口或目的端口是22的数据包，其他的数据包就不要显示出来。
-c : 是Count含义，设置抓取的包数。