tcpdump

# tcpdump:

-i interface

-w file ：保存到文件

-nn：第一個n表示把IP地址顯示爲數字格式，而不是主機名,第二個n表示把端口顯示爲數字格式

-X:hex and ASCII

-A:ASCII

-VV：更詳細信息

expression：

關鍵字：

type：host,net,port,portrange

direction:src,dst,src or dst,src and dst

protocol:ether,ip,arp,tcp,udp,wlan

tcpdump -i eth0 -nn host IP1 ---抓取IP1的通訊（包括IP1發給其它主機的，以及其它主機發給IP1的（源和目標都是IP1））

tcpdump -i eth0 -nn dst host IP1 ---抓取目標主機是IP1的通訊

組合：and ,or ,not

tcpdump -i eth0 -nn host IP1 and IP2 ---抓取IP1和IP2之間的通訊

tcpdump -i eth0 -nn host IP1 and \(IP2 or IP3\) ---抓取IP1跟IP2間，或IP1跟IP3之間的通訊

tcpdump tcp dst port 80 -n and src 10.2.2.4

tcpdump tcp dst port 80 -n and ! src 10.2.2.4

tcpdump tcp dst port 80 -n and host 10.2.2.4

-vv <---把數據包的詳細內容都記錄下來

-w <---把數據保存到某個文件