tcpdump举例

$ tcpdump -r test.pcap -w http_only.pcap –s 0 tcp port 80

-r test.pcap是指从test.pcap中读包。这个指令的意思是从test.pcap中读包后，根据“tcp port 80”这个过滤规则筛选出满足要求的包，将这些包存到http_only.pcap这个文件中去。

此后我们就可以用tcpreplay来发送http_only.pcap中的http包了。

tcpdump -i wlan0 -enn -XX -vv tcp port 80 -s 500 -w /tmp/tcpdump.bak

-i //指定网络接口 -=-=- wlan0 eth0 -=-=-
-vv //打印出更详细的信息模式
tcp //指定协议类型为TCP
port //指定端口号 -=-=- 后面跟端口号
-c //当收到count报文后退出
-s //重定义截取报文大小，默认为96（或68），如果定义为0，则表示获取完整报文。该参数应尽量小，尤其在繁忙网络环境中
-w //输出到某个文件
-XX //以16 进制数形式显示每一个报文(包含链路层报头)，同时显示ASCII码
-e //每一行显示数据链路层报文:源MAC地址>目的MAC地址，以太类型 IPV4 (0X0800), 包数据长度
host //指定域名或者机器名或者IP 者目标的 -=-=- host www.Kernel.sh -=-=-
-n //别把地址转换成名字：显示ip地址，而非主机名称
-nn //别把协议和端口号转换为服务名：譬如显示80端口而非HTTP

//输出到文件，直接查看文件比较友好一点