tcpdump常用命令

-i 指定监听的网络接口
-v 输出一个稍微详细的信息
-vv 输出详细的报文信息
-w 直接将分组写入文件中
-Annk 人性化解析
host 主机过滤
port 端口过滤
net 网段过滤 tcpdump -i eth1 src net 192.168

常用表达式
非 : ! or “not” (去掉双引号)
且 : && or “and”
或 : || or “or”

抓取所有经过eth1，目的地址是192.168.1.254或192.168.1.200端口是80的TCP数
tcpdump -i eth1 ‘((tcp) and (port 80) and ((dst host 192.168.1.254) or (dst host 192.168.1.200)))’

选自
https://www.cnblogs.com/chenpingzhao/p/9108570.html
https://www.cnblogs.com/maifengqiang/p/3863168.html