tcpdump抓包

服务器（centos）：192.168.1.112

测试机器A（windows）：192.168.19.xx

测试机器B（windows）：192.168.19.xx

在centos服务器上抓取9515端口收到的数据

tcpdump -i em1 udp port 9515

抓包效果：

可以看到服务器已经收到了两台windows发来的数据。

下面是tcpdump相关解释

tcpdump可以将网络中传送的数据包完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤，并提供and、or、not等逻辑语句来帮助你去掉无用的信息。

tcpdump的总的输出格式为：系统时间 来源主机.端口 > 目标主机.端口 数据包参数

参数：-i

-i参数指定tcpdump监听的网络接口

-w参数指定将监听到的数据包写入文件中保存

参数：网卡名称

em1是本机网卡名称

参数：

协议tcp或udp等

参数：

port或其他

src、dst、port、host、net、ether、gateway这几个选项又分别包含src、dst 、port、host、net、ehost等附加选项。他们用来分辨数据包的来源和去向，src host 192.168.0.1指定源主机IP地址是192.168.0.1，dst net 192.168.0.0/24指定目标是网络192.168.0.0。以此类推，host是与其指定主机相关无论它是源还是目的，net是与其指定网络相关的，ether后面跟的不是IP地址而是物理地址，而gateway则用于网关主机。

tcpdump src host 192.168.0.1 and dst net 192.168.0.0/24

过滤的是源主机为192.168.0.1与目的网络为192.168.0.0的报头。

tcpdump ether src 00:50:04:BA:9B and dst……

过滤源主机物理地址为XXX的报头（为什么ether src后面没有host或者net？物理地址当然不可能有网络喽）。

Tcpdump src host 192.168.0.1 and dst port not telnet

过滤源主机192.168.0.1和目的端口不是telnet的报头。

ip icmp arp rarp 和 tcp、udp、icmp这些选项等都要放到第一个参数的位置，用来过滤数据报的类型。

例如：

tcpdump ip src……

只过滤数据-链路层上的IP报头。

tcpdump udp and src host 192.168.0.1

只过滤源主机192.168.0.1的所有udp报头。