常用的tcpdump操作

tcpdump -i eth0 icmp and host 192.168.0.111 -nn -tttt

用ping检测网络情况时抓包，-nn 显示ip和端口而不是机器名和进程名，-tttt 显示详细的时间

tcpdump -i eth0 host 192.168.0.111 and tcp port 22 -nn -tttt

指定端口抓包

tcpdump -i eth0 src host 192.168.0.111 and dst port 22 -nn -tttt

指定方向抓包

tcpdump -i eth0 icmp and host 192.168.0.111 -w dump.pcap -C 10 -Z root
tcpdump -r test.pcap -nn -tttt

保存抓包数据到dump.pcap，文件大小超过10M后转存到下一个dump.pcap1、dump.pcap2 ......

用 tcpdump -r 来读取文件

tcpdump -i eth0 icmp and host 192.168.0.111 -w %Y%m%d%H%M%S.pcap -G 3600 -Z root

每1小时（3600秒）转存一次，以精确到秒的时间为文件名

 

转载于:https://www.cnblogs.com/toSeek/p/10396256.html