tcpdump命令是Linux提供的一个非常强大的抓包工具，熟练使用它，对我们排查网络问题非常有用。如果在机器上还没有安装该工具，则可以使用如下命令安装：

yum install tcpdump
sudo apt install tcpdump #装不了请bing或google搜索一下

tcpdump运行时得有sudo权限
tcpdump的常用选项如下

• -i 指定要捕获的目标网卡名，网卡名可以使用ifconfig命令获得 如果要抓取所有网卡上的包，则可以使用any关键字

tcpdump -i ens33
tcpdump -i any

• -X 以ASCII和十六进制形式输出捕获的数据包内容，减去链路层的包头信息；-XX以ASCII和十六进制形式输出捕获的数据包内容，包括链路层的包头信息。
• -n 不要将IP地址显示成别名 ；-nn指不要将ip地址和端口显示成别名
• -S 以绝对值显示包的SN号 默认以上一包的偏移量显示
• -vv显示详细的捕获的数据包 -vvv更详细的显示数据包内容
• -w将抓包的原始信息写入到文件中，后跟文件名

tcpdump -i any -w filename.cap

• -r 从使用-w选项保存的文件中读取包信息
  除了使用可选参数 另外可以使用包过滤的表达式

##仅仅显示tcp/udp端口8888 的数据包 
tcpdump -i any 'port 8888'
## 仅显示经过tcp:8888端口的数据包
tcpdump -i any 'tcp port 8888'
##仅显示源端口是tcp:8888的数据包
tcpdump -i any 'tcp src port 8888'
##仅显示源端口是tcp:8888或目标端口是udp9999的包
tcpdump -i any 'tcp src port 8888 or udp dst port 9999'
##仅显示原地址为127.0.0.1 且源端口是tcp 9999的包 以ASCII和十六进制显示详细的输出 不显示ip地址和端口号的别名
tcpdump -i any 'src host 127.0.0.1 and tcp src port 9999' -XX -nn -vv