tcpdump

# tcpdump:

-i interface

-w file ：保存到文件

-nn：第一个n表示把IP地址显示为数字格式，而不是主机名,第二个n表示把端口显示为数字格式

-X:hex and ASCII

-A:ASCII

-VV：更详细信息

expression：

关键字：

type：host,net,port,portrange

direction:src,dst,src or dst,src and dst

protocol:ether,ip,arp,tcp,udp,wlan

tcpdump -i eth0 -nn host IP1 ---抓取IP1的通信（包括IP1发给其它主机的，以及其它主机发给IP1的（源和目标都是IP1））

tcpdump -i eth0 -nn dst host IP1 ---抓取目标主机是IP1的通信

组合：and ,or ,not

tcpdump -i eth0 -nn host IP1 and IP2 ---抓取IP1和IP2之间的通信

tcpdump -i eth0 -nn host IP1 and \(IP2 or IP3\) ---抓取IP1跟IP2间，或IP1跟IP3之间的通信

tcpdump tcp dst port 80 -n and src 10.2.2.4

tcpdump tcp dst port 80 -n and ! src 10.2.2.4

tcpdump tcp dst port 80 -n and host 10.2.2.4

-vv <---把数据包的详细内容都记录下来

-w <---把数据保存到某个文件