tcpdump [-i接口] [-w存储文件名][-c次数][-r文件][所要摘取
的数据包数据格式]
选项:-nn:直接以IP以及port number显示,而非主机名与服
务名称
-q:以简短的形式显示数据包信息
-i:跟上要监听的网络接口 -i any表示监听所有端口
-w:将监听的数据包数据存储下来,后边接上文件名
-r:从后边接的文件将数据包读取出来,文件为已经存在 的文件
-c:监听的数据包数量
-D:查看目前主机上有哪些端口
'host ip':针对特定的ip进行监听,不区分src和dst
'net 192.168':针对特定的网段进行监听
'src host ip':来源(src)和目标(dst)限制
'tcp port':针对协议和端口进行监听
还可以利用and和or来进行数据包的整合显示
'portange 10-20'端口范围
'less 80'长度小于80的包
'greater 80' 长度大于80的包