tcpdump命令

-c  指定抓取包的数量，即最后显示的数量
-i  指定tcpdump监听的端口。未指定，选择系统中最小的以配置端口。
     -i any:监听所有网络端口    -i lo:监听lookback接口。

-nn 对监听地址以数字方式呈现，且对端口也以数字方式呈现。如果不指定 ，地址以主机名方式呈现，端口以服务名方式呈现
-P  指定要抓取的包是流入还是流出 （in out inout[默认]）
-s  设置tcpdump的数据包抓取长度，默认为65535字节。
-e  输出的每行都包含数据链路层的头部信息。
-D  列出所有可以用于抓包的表达式。
-X  显示协议头和包的全部内容。
-F  从文件中读取抓包的表达式。

举例

（1）tcpdump -i eth0 host 192.168.1.1 【过滤主机】

         注：抓取所有经过网卡1，目的ip为192.168.1.1

（2）tcpdump -i  eth0 dst port 22 【过滤端口】

       注：抓取所有经过网卡1，目的端口为22的网络数据

（3）tcpdump -i eth0 udp 【过滤协议】

       注；抓取所有经过网卡1，协议为UDP的协议。

（4）tcpdupmp -i lo udp 【抓取本地环路数据包】

（5）特定协议特定端口

           tcpdump udp port 22

（6）抓取特定类型的数据包

           tcpdump -i eth0 'tcp[tcpflags] = tcp-syn' (抓取所有经过网卡1的SYN类型的数据包)

          tcpdump -i eth0 udp dst port 53(抓取经过网卡1的所有DNS数据包)

（7）逻辑语句过滤

          tcpdump -i eth0 '((tcp) and ((dst net 192.168.0) and (not dst host 192.168.0.2)))'

         注：抓取所有经过网卡1，目的网络是192.168.0，但目的主机不是192.168.0.2的TCP数据。   

（8）抓包存取

       tcpdump -i eth0 host 192.168.1.51 and port 22 -w /tmp/tcpdump.cap

       注：抓取所有经过网卡1，目的主机为192.168.1.51的网络数据并存储。 

版权声明：本文为CSDN博主「小楚同学呀~」的原创文章，遵循CC 4.0 BY-SA版权协议，转载请附上原文出处链接及本声明。
原文链接：https://blog.csdn.net/Romanticn_chu/article/details/116052964

抓包过程

https://www.cnblogs.com/pyng/p/9699068.html