windows中的抓包工具：wireshark 

linux中的抓包工具：tcpdump

cpdump是Linux系统中自带抓包工具 

[root@IKUN ~]# rpm -q tcpdump
tcpdump-4.9.0-5.el7.x86_64
[root@IKUN ~]# 

 

tcpdump tcp -i ens33 -t -s 0 -c 100 and dst port ! 22 and src net 192.168.1.0/24 -w ./target.cap

解释：

（1）tcp∶ ip、icmp、arp、rarp 和 tcp、udp、icmp这些选项等都要放到第一个参数的位置，用来过滤数据报的类型。

（2）-i ens33 ：只抓经过接口ens33的包。

（3）-t：不显示时间戳

（4）-s0 ：抓取数据包时默认抓取长度为68字节。加上"-s 0"后可以抓到完整的数据包。

（5）-c 100 ：只抓取100个数据包。

（6）dst port ! 22 ：不抓取目标端口是22的数据包。

（7）src net 192.168.1.0/24 ：数据包的源网络地址为192.168.1.0/24。Net：网段，host：主机。

（8）-w ./target.cap ∶ 保存成cap文件，方便用ethereal （即wireshark）分析。

tcpdump -D //查看网卡

tcpdump -i ens33  //指定查看ens33 网卡

tcpdump host 192.168.136.133 -i ens33
//监听特定主机，监听主机10.0.0.100 的通信包，注意：出、入的包都会被监听。

tcpdump src host hostname //特定来源

tcpdump dst host hostname   //特定目标地址

如果不指定src跟dst，那么来源或者目标是hostname的通信都会被监听

tcpdump -i ens33 -nn icmp and src host 192.168.136.134 and dst host 192.168.136.133
//监听ens33网卡源地址是192.168.136.134 目的地址是192.168.136.133的数据

tcpdump ip host 192.168.136.133 and 192.168.136.134 -i ens33
//只抓取 特定主机之间的数据包

#抓取特定端口
tcpdump port 3000tcpdump tcp port 22 and src host 10.0.0.100 -i ens33

进行动态抓包处理（一旦遇到有指定数据包的出现，开始运转）

[root@IKUN opt]# tcpdump -i ens35  -s0 -w  ./ens35.cap  //指定网卡ens35，取完整包的长度，保存在当前目录

 用客户机访问web服务器，且停止抓包