一、tcpdump
1、抓取源地址是192.168.1.100的包,并将结果保存到result.pcap文件里
tcpdump src host 192.168.1.100 -w result.pcap
2、抓取源地址包含192.168.1.100的包,并将结果保存到result.pcap文件里
tcpdump host 192.168.1.100 -w result.cap
3、抓取目的地址包含192.168.1.100的包,并将结果保存到result.pcap文件里
tcpdump dst host 192.168.1.100 -w result.pcap
4、抓取所有的经过eth0网卡的网络包,并将结果保存到result.pcap文件里
tcpdump -i eth0 -w result.pcap
5、抓取网卡eth0上所有包含端口22的数据包
tcpdump -i eth0 -vnn port 22
6、抓取指定协议格式的数据包
tcpdump udp -i eth0 -vnn
7、抓取经过eth0网卡的源ip是192.168.1.100的数据包
tcpdump -i eth0 -vnn src host 192.168.1.100
8、抓取经过eth0网卡的目的ip是192.168.1.100的数据包
tcpdump -i eth0 -vnn dst host 192.168.1.100
9、抓取源端口是22的数据包
tcpdump -i eth0 -vnn src port 22
10、抓取udp指定端口的数据包
tcpdump udp port '(12346 or 32013)' -w test.pcap
解决drop kernel方法
tcpdump -i enp9s0 src host 192.168.1.2 \
or src host 192.168.1.3 \
-nn -n -s0 -B40960 -C 2000M \
-w 123.pcap
