1、 監視所有發送到主機hostname的數據:
tcpdump -i eth0 dst host hostname
2、 監視指定主機和端口的數據包(接收或發出的telnet包):
tcpdump tcp port 22 and host hostname
3、 截獲主機hostname發送而來的數據包
tcpdump -i ens160 src host 10.10.18.139 > recv_log.log
cat recv_log.log | "17:01:16"|wc -l
4、 監聽指定網卡udp指定port:
tcpdump -i ens160 udp port 10310
5、 抓取所有經過eth0,目的或源地址為10.10.18.139的網絡數據:
tcpdump –i eth0 host 10.10.18.139
6、 抓取主機10.37.63.255和主機10.37.63.61或10.37.63.95的通信
tcpdump host 10.37.63.255 and (10.37.63.61 or 10.37.63.95)
7、 抓取主機192.168.13.210除了和主機10.37.63.61之外所有主機通信的數據包
tcpdump –n host 192.168.13.210 and ! 10.37.63.61
8、 抓取主機10.37.63.255除了和主機10.37.63.61之外所有主機通信的ip包
tcpdump ip –n host 10.37.63.255 and ! 10.37.63.61
9、 抓取主機10.37.63.3發送的所有數據
tcpdump –i eth0 src host 10.37.63.3
10、 抓取主機10.37.63.3接收的所有數據
tcpdump –i eth0 dst host 10.37.63.3
11、 抓取主機10.37.63.3所有在TCP 80端口的數據包,保存為cap文件用於wireshark打開
tcpdump –I eth0 host 10.37.63.3 and tcp port 80
tcpdump -i eth0 host 172.20.0.40 and tcp port 3688 –w server.cap
12、 抓取HTTP主機10.37.63.3在80端口接收到的數據包
tcpdump -i eth0 host 172.20.0.40 and dst port 3688