普通情況下,直接啟動tcpdump将監視第一個網絡接口上所有流過的資料包。
監視指定網絡接口的資料包
tcpdump -i eth1
如果不指定網卡,預設tcpdump隻會監視第一個網絡接口,一般是eth0,下面的例子都沒有指定網絡接口。
監視指定主機的資料包
列印所有進入或離開sundown的資料包.
tcpdump host sundown
也可以指定ip,例如截獲所有210.27.48.1 的主機收到的和發出的所有的資料包
tcpdump host 210.27.48.1
列印helios 與 hot 或者與 ace 之間通信的資料包
tcpdump host helios and ( hot or ace )
截獲主機210.27.48.1 和主機210.27.48.2 或210.27.48.3的通信
tcpdump host 210.27.48.1 and \ (210.27.48.2 or 210.27.48.3 )
列印ace與任何其他主機之間通信的IP 資料包, 但不包括與helios之間的資料包.
tcpdump ip host ace and not helios
如果想要擷取主機210.27.48.1除了和主機210.27.48.2之外所有主機通信的ip包,使用指令:
tcpdump ip host 210.27.48.1 and ! 210.27.48.2
截獲主機hostname發送的所有資料
tcpdump -i eth0 src host hostname
監視所有送到主機hostname的資料包
tcpdump -i eth0 dst host hostname
監視指定主機和端口的資料包
如果想要擷取主機210.27.48.1接收或發出的telnet包,使用如下指令