Tcpdump：

NO-GUI（没有图形界面）的抓包分析工具；

Linux、Unix系统默认安装

抓包：

默认只抓68字节

Tcpdump -i eth0 -s 0 -w file.pcap(-i后面选择网卡，-s后面跟包的大小，如果是0表示全部抓取，-w把抓到数据包保存到文件)

Tcpdump -i eth0 port 22

读取抓包文件：

Tcpdump -r file.pcap

TCPDUMP筛选器：

Tcpdump -n -r http.cap | awk '{print $3}' | sort -u
(-n表示不进行解析，http.cap是提前保存好的抓包文件，使用awk筛选第三列的内容，sort -u表示去除重复项 )

Tcpdump -n src host 192.168.0.124 -r http.cap（筛选源地址为该地址的包信息）

Tcpdump -n dst host 145.254.160.237 -r http.cap（筛选目的地址为该地址的包信息）

Tcpdump -n port 53 -r http.cap（根据端口进行筛选）

Tcpdump -nX port 80 -r http.cap（根据端口进行筛选，-X显示ASCII码）

下方是TCP报文格式

Tcpdump -A -n 'tcp[13] = 24' -r http.cap（筛选出来13个字节换算出来是24的数据包）