tcpdump抓包工具

# 监听所有进出 192.168.1.0/24 网络的数据包
tcpdump -i ens3 net 192.168.1.0/24

# 监听目标网络为 10.0.0.0/8 的数据包
tcpdump -i ens3 dst net 10.0.0.0/8

# 监听所有经过端口 80 (HTTP) 的数据包
tcpdump -i ens3 port 80

# 监听源端口或目标端口为 53 (DNS) 的数据包
tcpdump -i ens3 port 53

# 监听目标端口为 443 (HTTPS) 的数据包
tcpdump -i ens3 dst port 443

# 监听源端口为 12345 的数据包
tcpdump -i ens3 src port 12345

# 监听端口范围 (如 8000-8080)
tcpdump -i ens3 portrange 8000-8080

# 监听 ICMP 数据包 (如 ping)
tcpdump -i ens3 icmp

# 监听 TCP 数据包
tcpdump -i ens3 tcp

# 监听 UDP 数据包
tcpdump -i ens3 udp

# 监听 ARP 数据包
tcpdump -i ens3 arp

# 监听来自主机 192.168.1.100，目标端口为 80 的 TCP 数据包
tcpdump -i ens3 'tcp and src host 192.168.1.100 and dst port 80'

# 监听所有不是 ping (ICMP) 并且不是 SSH (端口 22) 的流量
tcpdump -i ens3 'not icmp and not port 22'

# 监听来自网络 192.168.1.0/24，去往任何主机端口 80 或 443 的流量
tcpdump -i ens3 'src net 192.168.1.0/24 and (dst port 80 or dst port 443)'

# 不将 IP 地址转换为主机名 (避免 DNS 查询，输出更清爽)
tcpdump -n -i ens3

# 不将端口号转换为服务名 (如 80 -> http)
tcpdump -nn -i ens3

# 以 ASCII 和 HEX 格式同时显示数据包内容 (用于调试应用层数据)
tcpdump -A -i ens3 port 80
tcpdump -X -i ens3 port 80
# 组合使用
tcpdump -XX -i ens3 port 80

# 将捕获的数据包保存到文件 (方便之后用 Wireshark 分析)
tcpdump -i ens3 -w capture_file.pcap host node1

# 从之前保存的文件中读取并分析数据包
tcpdump -r capture_file.pcap

# 限制捕获数据包的大小 (例如只抓每个包的前 96 字节，包含头部)
tcpdump -i ens3 -s 96 port 80

# 仅捕获 10 个数据包后退出
tcpdump -i ens3 -c 10

# 详细输出 (更详细的时间戳、TTL 等信息)
tcpdump -i ens3 -v
tcpdump -i ens3 -vv # 更详细
tcpdump -i ens3 -vvv # 最详细