# 检查是否安装
which tcpdump
# 安装
yum install -y tcpdump # tcpdump依赖于libpcap
# tcpdump抓包 需要管理员权限
# 列出可以抓包的网络接口
sudo tcpdump -D
# 1.eth0
# 2.virbr0
# 3.eth1
# 4.any (Pseudo-device that captures on all interfaces) any 特殊接口,可用于抓取所有活动的网络接口的数据包
# 5.lo [Loopback]
# 对 any 接口进行抓包
sudo tcpdump -i any
# tcpdump 会持续抓包直到收到中断信号,可以按 Ctrl+C 来停止抓包
# -c 选项可以用于限制 tcpdump 抓包的数量
# 抓取 5 个数据包后自动停止了抓包
sudo tcpdump -i any -c 5
# -n 选项显示 IP 地址,-nn 选项显示端口号
sudo tcpdump -i any -c5 -nn
# 默认启动 将监视第一个网络接口上所有流过的数据包
tcpdump
# 监视指定网络接口的数据包
tcpdump -i eth0 -c 10
# 监视指定主机的数据包
tcpdump -i eth0 host 10.20.3.25
# 获取主机10.20.3.25发送的所有数据
tcpdump -i eth0 src host 10.20.3.25
# 监视所有发送到主机10.20.3.25的数据包
tcpdump -i eth0 dst host 10.20.3.25
# 监视指定主机和端口的数据包
tcpdump tcp port 22 and host 10.20.3.25
# 监视指定网络的数据包,如本机与10.20.3网段通信的数据包,"-c 10"表示只抓取10个包
tcpdump -c 10 net 10.20.3
# 抓取ping包
tcpdump -c 5 -nn -i eth0 icmp