tcpdump 基于mac地址抓取数据包

1、刚刚接触tcpdump时，常用tcpdump -i eth1 host 192.168.1.1 这个命令基于ip地址抓取数据包信息。

tcpdump -i eth1(接口名称) host 192.168.1.1(计算机IP地址) 

2、在分析客户的网络中，经常会用到设备中自带的tcpdump软件，再配合PC端的wireshark软件来简单检查分析客户的网络情况。

这时候经常用到的tcpdump参数为：

tcpdump -i eth1 -nn(不做地址解析)   -s0(抓取数据包长度不限制)    -v(显示详细信息，需要显示更详细信息，可再加两个)  -e (列出链路层头部) -c  20 (抓取指定个数的数据包，比如此处写20个，则为抓取20个包就停止)

如果不加 -n 参数的话，抓取的数据包会显示主机名或者域名信息，端口也会显示为相关的服务，如抓80端口，会显示为http

如果不加-s0参数的话，默认只抓取一部分（68字节），则数据包在wireshark中打开，会显示数据包不完整

3、在分析dhcp数据包的交互（IP地址下发），arp攻击等问题时，会涉及到链路层头部的抓取，也就是mac地址。抓取命令为

tcpdump -i eth1 ether src 6c:41:6a:ac:11:42 -c 10   // 在接口eth1上，抓取源mac地址为6c:41:6a:ac:01:42的数据包，个数为10