我先看下實例代碼：

1.常見參數(shù)tcpdump -i eth0 -nn -s0 -v port 80-i 選擇監(jiān)控的網(wǎng)卡-nn 不解析主機名和端口號，捕獲大量數(shù)據(jù)，名稱解析會降低解析速度-s0 捕獲長度無限制-v 增加輸出中顯示的詳細信息量port 80 端口過濾器，只捕獲80端口的流量，通常是HTTP2.tcpdump -A -s0 port 80-A 輸出ASCII數(shù)據(jù)-X 輸出十六進制數(shù)據(jù)和ASCII數(shù)據(jù)3.tcpdump -i eth0 udpudp 過濾器，只捕獲udp數(shù)據(jù)proto 17 協(xié)議17等效于udpproto 6 等效于tcp4.tcpdump -i eth0 host 10.10.1.1host 過濾器，基于IP地址過濾5.tcpdump -i eth0 dst 10.105.38.204dst 過濾器，根據(jù)目的IP過濾src 過濾器，根據(jù)來源IP過濾6.tcpdump -i eth0 -s0 -w test.pcap-w 寫入一個文件，可以在Wireshark中分析7.tcpdump -i eth0 -s0 -l port 80 | grep 'Server:'-l 配合一些管道命令的時候例如grep8.組合過濾and or &&or or ||not or !9.快速提取HTTP UAtcpdump -nn -A -s1500 -l | grep "User-Agent:"使用egrep 匹配 UA和Hosttcpdump -nn -A -s1500 -l | egrep -i 'User-Agent:|Host:'10.匹配GET的數(shù)據(jù)包tcpdump -s 0 -A -vv 'tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420'匹配POST包，POST的數(shù)據(jù)可能不在包里tcpdump -s 0 -A -vv 'tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x504f5354'11.匹配HTTP請求頭tcpdump -s 0 -v -n -l | egrep -i "POST /|GET /|Host:"匹配一些POST的數(shù)據(jù)tcpdump -s 0 -A -n -l | egrep -i "POST /|pwd=|passwd=|password=|Host:"匹配一些cookie信息tcpdump -nn -A -s0 -l | egrep -i 'Set-Cookie|Host:|Cookie:'12.捕獲DNS請求和響應(yīng)tcpdump -i eth0 -s0 port 5313.使用tcpdump捕獲并在Wireshark中查看使用ssh遠程連接服務(wù)器執(zhí)行tcpdump命令，并在本地的wireshark分析ssh root@remotesystem 'tcpdump -s0 -c 1000 -nn -w - not port 22' | wireshark -k -i -ssh ubuntu@115.159.28.111 'sudo tcpdump -s0 -c 1000 -nn -w - not port 22' | wireshark -k -i -14.配合shell獲取最高的IP數(shù)tcpdump -nnn -t -c 200 | cut -f 1,2,3,4 -d '.' | sort | uniq -c | sort -nr | head -n 2015.捕獲DHCP的請求和響應(yīng)tcpdump -v -n port 67 or 68