netstat tcpdump

tcpdump

最简单的命令，指定host：
tcpdump -i eth0 host 172.20.20.155 or 172.28.13.61
截获本机与172.20.20.155 或172.28.13.61交互中接收和发送的包

若是要区分源和目的，能够加src , dst ,dst or src, dst and src关键字：
tcpdump -i eth0 src host 172.20.20.155 or 172.28.13.61 and dst port 80
截获172.20.20.155 或172.28.13.61发送给本机80端口的包

若是要指定协议，能够加tcp，udp，ip等关键字，注意tcp udp只能修饰port：
tcpdump -i eth0 src host 172.20.20.155 or 172.28.13.61 and tcp dst port 80
截获172.20.20.155 或172.28.13.61发送给本机80端口的tcp包

若是要排除某些机器和端口的包，还提供了！操做符：
tcpdump -i eth0 host ! 172.20.20.155 and ! 172.28.13.61
截获本机与除172.20.20.155 和172.28.13.61之外全部机器交互中接收和发送的包

若是要把抓包结果输出为文件，能够加-w关键字：
tcpdump -i eth0 src host 172.20.20.155 or 172.28.13.61 and tcp dst port 80 -w out.cap
这样文件out.cap能够用wireshark进一步分析

若是要把抓包结果输出为文件，能够加-w关键字：
tcpdump -i eth0 -X src host 172.20.20.155 or 172.28.13.61 and tcp dst port 80
这样文件out.cap能够用wireshark进一步分析

 

-nn：不显示主机名而直接显示ip.port

-c ：监听的包数，若是没有这个参数，tcpdump会不持续不断的监听， 直到使用者输入 [ctrl]-c 为止。

-i：要监听的网络设备，例如eth0, lo等，能够经过ifconfig查看。

-X ：能够列出十六进制 (hex) 以及 ASCII 的包內容。