帮助信息：

# tcpdump --help
tcpdump version 4.9.2
libpcap version 1.5.3
OpenSSL 1.0.2k-fips  26 Jan 2017
Usage: tcpdump [-aAbdDefhHIJKlLnNOpqStuUvxX#] [ -B size ] [ -c count ]
		[ -C file_size ] [ -E algo:secret ] [ -F file ] [ -G seconds ]
		[ -i interface ] [ -j tstamptype ] [ -M secret ] [ --number ]
		[ -Q|-P in|out|inout ]
		[ -r file ] [ -s snaplen ] [ --time-stamp-precision precision ]
		[ --immediate-mode ] [ -T type ] [ --version ] [ -V file ]
		[ -w file ] [ -W filecount ] [ -y datalinktype ] [ -z postrotate-command ]
		[ -Z user ] [ expression ]
-A  以ASCII编码打印每个报文（不包括链路层的头），这对分析网页来说很方便
-c  最大抓取报文数
-C  用于判断用 -w 选项将报文写入的文件的大小是否超过这个值，如果超过了就新建文件（文件名后缀是1、2、3依次增加）
-D  列出当前主机的所有网卡编号和名称，可以用于选项 -i
-e  打印链路层的头
-i  监听主机的该网卡上的数据流，如果没有指定，就会使用最小网卡编号的网卡（在选项-D可知道，但是不包括环路接口），linux 2.2 内核及之后的版本支持 any 网卡，用于指代任意网卡
-l  如果没有使用 -w 选项，就可以将报文打印到 标准输出终端（此时这是默认）
-r  读取已经抓取到的报文文件
-S  打印 tcp 的序列号的绝对值，而不是相对值
-w  将抓取的报文写入到文件

参考：

https://blog.csdn.net/nibzer/article/details/38469155

EXAMPLES（读、写）：

tcpdump -i any -vvv src host 10.3.2.160 and tcp src port 48990 and dst host 172.20.47.77 and tcp dst port 22 -c 10 -w /tmp/tcpdump.txt   # 写，
tcpdump -r /tmp/tcpdump.txt   # 读，这样可以转换文件为文本格式，但可读性依然比不上专门的软件Wireshark。

注：

1、如果默认不加src或者dst，host、port等默认表示src；

2、多个关键字之间，必须有and衔接；

转载请注明：liutianfeng.com » tcpdump