tcpdump 抓包

1:抓包命令

         tcpdump -i 网卡 port 端口 -w abcd.pcap -v

         tcpdump -i 网卡 host IP and port 端口 -w abcd.pcap -v

2: Wireshark目标地址及协议过滤

         ip.addr eq 36.112.68.214 and http

3:过滤IP：

        IP源地址：ip.src ==

       192.168.1.1

       IP目的地址：ip.dst == 192.168.1.1

       IP地址（包括源和目的）：ip.addr == 192.168.1.1

4:过滤端口：

       TCP端口：tcp.port==80

       TCP目的端口：tcp.dstport == 80

       TCP源端口：tcp.srcport == 80

       UDP端口：udp.port eq 15000

       TCP 1-80之间的端口：tcp.port >= 1 and tcp.port <= 80

5:过滤协议：

       http、tcp、udp、arp、icmp、http、smtp、ftp、dns 等。

6:过滤MAC地址：

       源MAC地址：eth.src==A0:00:00:04:C5:84

       目的MAC地址：eth.dst==A0:00:00:04:C5:84

       MAC地址（包括源和目的）：eth.addr==A0:00:00:04:C5:84

7:过滤包长度：

       整个UDP数据包：udp.length==20

       TCP数据包中的IP数据包：tcp.len>=20

       整个IP数据包：ip.len==20

       整个数据包：frame.len==20