sudo tcpdump  -vvttttl  host  118.126.113.155
 
curl http://codefun007.xyz/pv.htm

建立连接  发送请求 返回数据  关闭连接 
查看整个过程的数据
建立连接 三次握手  关闭连接 4次挥手

-X    通过 16 进制和 ASCII 码来展示数据包中的内容
-XX   和 -X 类似，会另外展示以太网头部
-D    返回可用的接口列表
-l    单行输出
-q    减少一些不必要的输出
-t    可读的时间格式输出 
-tttt 完整的的时间戳输出
-i    eth0 监听 eth0 网口
-vv   输出更详细信息 
-s    获取以字节为单位固定大小的包，-s0 可以获取到所有的内容
-S    打印绝对序列号（TCP 的序列号）
-e    获取以太网头部



获取从指定 IP 发出和收到的流量
tcpdump host 192.168.0.10

指定网络接口
tcpdump -i eth0
 
 
本机在 6789 端口 启动 echoserver 
sudo tcpdump  -i lo0  -vvlX   port 6789 

使用 src 和 dst 来限定方向

tcpdump src 192.168.0.10
tcpdump dst 192.168.0.10

指定端口范围
tcpdump portrange 21-23

指定具体协议
tcpdump icmp

条件组合
与 and 或 &&
或  or 或 ||
非 not 或 !

查看详细输出，不包含主机名或端口号的解析，使用绝对序列号，可读的时间戳
tcpdump -ttnnvvS

tcpdump -nnvvS src 10.5.2.3 and dst port 3389


获取从 192.168.x.x 网络发到 10.x 或者 172.16.x.x 网络的包，并且会通过16进制的形式展现
tcpdump -nvX src net 192.168.0.0/16 and dst net 10.0.0.0/8 or 172.16.0.0/16

特定 IP 且不包含 ICMP 的包
tcpdump dst 192.168.0.2 and src net and not icmp


tcpdump -vv src xxx and not dst port 22



tcpdump 'src 192.168.0.10 and (dst port 8080 or 8090)'

获取 DNS 的包
tcpdump -vvAs0 port 53


获取明文密码
$ tcpdump port http or port ftp or port smtp or port imap or port pop3 or port telnet -lA | egrep -i -B5 'pass=|pwd=|log=|login=|user=|username=|pw=|passw=|passwd= |password=|pass:|user:|username:|password:|login:|pass |user '