主要功能：捕获和分析数据包。

TcpDump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤，并提供 and、or、not等逻辑语句来帮助你去掉无用的信息。

命令格式：tcpdump [ 选项 ] [ -c 数量 ] [ -i 网络接口 ] [ -w 文件名 ] [ 表达式 ]

常用选项：

-l：使标准输出变为缓冲行形式；

-c：抓包次数；

-nn：直接以 IP 及 Port Number 显示，而非主机名与服务名称；

-s ：<数据包大小> 设置每个数据包的大小；

-i：指定监听的网络接口；

-r：从指定的文件中读取包；

-w：输出信息保存到指定文件；

-a：将网络地址和广播地址转变成名字；

-d：将匹配信息包的代码以人们能够理解的汇编格式给出；

-e：在输出行打印出数据链路层的头部信息；

-f：将外部的Internet地址以数字的形式打印出来；

-t：在输出的每一行不打印时间戳；

-v ：输出稍微详细的报文信息；加一个v更详细。

举例说明：

1、截获eth0网卡10次收发所有数据包并将抓包结果保存到test文件,再读取test抓包结果文件

tcpdump –i eth0 –c 10 –w test

tcpdump –r test

2、截获来访问80端口的所有数据包（指定端口范围portrange 1-1024）

tcpdump port 80

3、截获所有来自主机192.168.254.13的进出所有数据包

tcpdump host 192.168.254.13

4、截获ip包中源地址是192.168.254.13的（目的是dst）

tcpdump src 192.168.254.13

5、截获主机192.168.254.249和主机192.168.254.13的通信

tcpdump host 192.168.254.249 and 192.168.254.13

6、截获tcp协议并且源地址192.168.254.13来访问80的端口

tcpdump tcp and src 192.168.254.13 and port 80

7、截获主机192.168.254.13除了和192.168.254.249之外的所有ip包

tcpdump ip host 192.168.254.13 and ! 192.168.254.13249

8、截获长度大于1000数据包,对于DDOS***时，可以使用

tcpdump greater 1000