該命令支持針對網絡層、協議、主機、網絡或端口的過濾，并提供and、or、not等邏輯語句來幫助你去掉無用的信息。tcpdump就是一種免費的網絡分析工具，尤其其提供了源代碼，公開了接口，因此具備很強的可擴展性，對于網絡維護和入侵者都是非常有用的工具。tcpdump存在于基本的FreeBSD系統中，由于它需要將網絡界面設置為混雜模式，普通用戶不能正常執行，但具備root權限的用戶可以直接執行它來獲取網絡上的信息。因此系統中存在網絡分析工具主要不是對本機安全的威脅，而是對網絡上的其他計算機的安全存在威脅

【常用關鍵字】

tcpdump命令中幾種關鍵字:

第一種:類型關鍵字,包括:host,net,port

第二種:傳輸方向關鍵字,包括:src,dst 

第三種:協議關鍵字,包括: ip,arp,tcp,udp等類型                                         

第四種:其他關鍵字,包括:gateway,broadcast,less,greater,not,!,and,&&,or,||

【備注說明】

1) 抓取回環網口的包：        $ tcpdump -i lo

 2) 防止包截斷的方法：        $ tcpdump -s 0

 3) 以數字顯示主機及端口：    $ tcpdump -n

【命令淺解】

$ tcpdump tcp -i eth1 -t -s0 -c 100 and dst port ! 22 and src net 192.168.1.0/24 -w ./target.cap

1)tcp:                    #  ip,icmp,arp,rarp,udp這些選項要放第一個參數，用來過濾數據報的類型

2)-i eth1                  # 只抓經過網口eth1的包

3)-t                      # 不顯示時間戳

4)-s 0                    # 抓取數據包時默認抓取長度為68字節。加上-s 0 后可以抓到完整的數據包

5)-c 100                  # 只抓取100個數據包

6)dst port ! 22            # 不抓取目標端口是22的數據包

7)src net 192.168.1.0/24  # 數據包的源網絡地址為192.168.1.0/24

8)-w ./target.cap          # 保存成cap文件，方便用wireshark工具進行分析

【其他命令】

$ tcpdump host 192.168.0.1 and /(192.168.0.2 or 192.168.0.3 /)  # 截取主機1與主機2或3之間的通信包

$ tcpdump ip host 192.168.0.1 and ! 192.168.0.2        # 截取主機1除了和主機2之外所有主機通信的ip包

$ tcpdump tcp port 23 host 210.27.48.1                  # 截取主機192.168.0.1接收或發出的telnet包

$ tcpdump -i eth0 host ! 192.168.0.1 and ! 192.168.0.2 and dst port 80 # 截獲除了主機1、2外訪問本機http端口的數據包