3 TCPDUMP--抓包
NO-GUI
·抓包
 ·默认只抓68字节
 ·tcpdump -i 网卡 -s（确定抓数据包为多大） 0（数据包多大就抓多大） -w file.pcap
 ·tcpdump -i 网卡 tcp（显示tcp包的） port 22 抓22端口的流量
读取抓包文件
 ·tcpdump -r -A（以ascci码显示） -X（16进制显示） file.pcap
·显示
 ·tcpdump -n -r http.cap（显示数据包） | awk'{prink}'（显示第三行） | sort -u（重复的过滤）
 ·tcpdump -n src（源地址是这个IP） host IP -r http.cap
 ·tcpdump -n dst（目标地址） host IP -r http.cap
 ·tcpdump -n port 53 -r http.cap
 ·tcpdump -nX -r http.cap
·高级筛选
每一行4个字节 一个字节8位 注意从0开始的  tcp【13】 为第14个字节
 ·tcpdump -A（ascci） -n（不做域名解析） ‘tcp【13】（tcp字节为24）=24’-r http.cap