tcpdump

yum install tcpdump

tcpdump

抓包
-c    指定要抓取的包数量（满足条件的）
-i    interface    指定监听的接口
        lo    环回口
        any    所有接口
-n    不反解主机名
-nn    不反解主机名和端口号
-P    指定要抓取流入还是流出的包        in、out、inout    默认inout
输出
-e    输出的每行都将包括数据链路层头部信息
-q    快速打印
-x    输出包的头部数据    16进制ASCII同时输出
-xx    更详细
-v    详细的输出    -vv   -vvv
其他
-D    列出可用于抓包的接口
-F    从文件中读取抓包的表达式
-w    将抓包数据输出到文件中
-r    从指定的数据包中读取数据

表达式
用于筛选输出那些类型的数据包
1、type        指定ID的类型
    host
    net        
    port        指定端口
    portrange    指定端口范围
2、dir        指定ID的方向
    src            源
    dst            目的
    src or dst    源或者目的    默认
    src and dst    

3、 proto 给定协议限定匹配的数据包类型
tcp、udp、arp、ip、ether、icmp

在ens33接口上抓取100个22端口的包并以详细模式和ip、port模式输出
tcpdump -c 100 -i ens33 -nn  -vv port 22
源端口为22的包
tcpdump -c 100 -i ens33 -nn  src port 22
tcp协议
tcpdump -c 100 -i ens33 -nn tcp port 22