tcpdump -h帮助信息

Usage: tcpdump [-aAbdDefhHIJKlLnNOpqRStuUvxX] [ -B size ] [ -c count ]

                [ -C file_size ] [ -E algo:secret ] [ -F file ] [ -G seconds ]

                [ -i interface ] [ -j tstamptype ] [ -M secret ]

                [ -P in|out|inout ]

                [ -r file ] [ -s snaplen ] [ -T type ] [ -V file ] [ -w file ]

                [ -W filecount ] [ -y datalinktype ] [ -z command ]

                [ -Z user ] [ expression ]

常用命令

tcpdump -i eth0 -X -s 0 -w ./target.cap #抓取eth0的报文输出
tcpdump -i eth0 -s 0  and src net 192.168.1.0/24 -w ./target.cap #抓取eth0上的192.168.1.0/24报文输出

常用选项介绍

-i 指定监听的网络接口。
-s 从每个分组中读取最开始的snaplen个字节，0表示包不截断，抓完整的数据包。默认的话 tcpdump 只显示部分数据包,默认68字节。
-v 输出一个稍微详细的信息，例如在ip包中可以包括ttl和服务类型的信息。
-vv 输出详细的报文信息。
-w 直接将分组写入文件中，而不是不分析并打印出来。
-X 告诉tcpdump命令，需要把协议头和包内容都原原本本的显示出来（tcpdump会以16进制和ASCII的形式显示），这在进行协议分析时是绝对的利器。