说明:下文内容很多收录自 “Packet Analyzer: 15 TCPDUMP Command Examples”
1. 监听指定网卡上的包
$ tcpdump -i eth1
2. 指定监听包的数量
$ tcpdump -c 2 -i eth0
3. 以ASCII方式显示捕捉到的包
$ tcpdump -A -i eth0
4. 以ASCII和HEX方式显示捕捉到的包
$tcpdump -XX -i eth0
5. 将捕捉到的包写入到指定文件
$tcpdump -w 08232010.pcap -i eth0
6. 从保存的文件中都取
$tcpdump -tttt -r data.pcap
7. 捕捉包时显示IP地址
$ tcpdump -n -i eth0
8. 显示更易于阅读的时间戳
$tcpdump -n -tttt -i eth0
9. 都取长于N的包
$ tcpdump -w g_1024.pcap greater 1024
10. 只捕获指定协议的包
$ tcpdump -i eth0 arp
11. 都取小于N字节的包
$ tcpdump -w l_1024.pcap less 1024
12. 捕捉指定端口的包
$ tcpdump -i eth0 port 22
13. 捕捉特定目标IP和端口的包
$ tcpdump -w xpackets.pcap -i eth0 dst 10.181.140.216 and port 22
14. 捕捉两台主机之间的TCP通信包
$tcpdump -w comm.pcap -i eth0 dst 16.181.170.246 and port 22
15. 过滤特定的包
$ tcpdump -i eth0 not arp and not rarp