TcpdumpNO-GUI(没有图形界面)的抓包分析工具; Linux、Unix系统默认安装 抓包:默认只抓68字节 Tcpdump -i eth0 -s 0 -w file.pcap(-i后面选择网卡,-s后面跟包的大小,如果是0表示全部抓取,-w把抓到数据包保存到文件) Tcpdump -i eth0 port 22 读取抓包文件Tcpdump -r file.pcap TCPDUMP筛选器Tcpdump -n -r http.cap | awk "{print $3}" | sort -u (-n表示不进行解析,http.cap是提前保存好的抓包文件,使用awk筛选第三列的内容,sort -u表示去除重复项 ) Tcpdump -n src host 192.168.0.124 -r http.cap(筛选源地址为该地址的包信息) Tcpdump -n dst host 145.254.160.237 -r http.cap(筛选目的地址为该地址的包信息) Tcpdump -n port 53 -r http.cap(根据端口进行筛选) Tcpdump -nX port 80 -r http.cap(根据端口进行筛选,-X显示ASCII码) 下方是TCP报文格式 Tcpdump -A -n "tcp[13] = 24" -r http.cap(筛选出来13个字节换算出来是24的数据包)