linux系統(tǒng)通常已預裝tcpdump工具，若未安裝，可使用以下命令安裝：

yum install -y tcpdump

查看tcpdump版本信息：

tcpdump --help

確定網(wǎng)卡名稱：

掌握網(wǎng)卡信息后，即可利用tcpdump監(jiān)控和過濾服務器網(wǎng)絡數(shù)據(jù)。

1. 捕獲指定IP地址的網(wǎng)絡數(shù)據(jù)：

捕獲所有經(jīng)過eth0網(wǎng)卡，目的或源IP地址為192.168.29.162的網(wǎng)絡數(shù)據(jù)：

tcpdump -n -i eth0 host 192.168.29.162

捕獲源IP地址為192.168.29.162的網(wǎng)絡數(shù)據(jù) (eth1網(wǎng)卡)：

tcpdump -i eth1 src host 192.168.29.162

捕獲目的IP地址為192.168.29.162的網(wǎng)絡數(shù)據(jù) (eth1網(wǎng)卡)：

tcpdump -i eth1 dst host 192.168.29.162

2. 捕獲指定端口的網(wǎng)絡數(shù)據(jù)：

捕獲eth0網(wǎng)卡8080端口的網(wǎng)絡數(shù)據(jù)：

tcpdump -n -i eth0 port 8080

3. 捕獲mysql數(shù)據(jù)庫相關數(shù)據(jù)：

捕獲MySQL執(zhí)行的SQL語句：

tcpdump -i eth1 -s 0 -l -w - dst port 3306 | strings

捕獲MySQL通訊數(shù)據(jù)包 (生成的cap文件需使用wireshark等工具打開)：

tcpdump -n -nn -tttt -i eth0 -s 65535 'port 3306' -w 20160505mysql.cap

4. 捕獲其他協(xié)議數(shù)據(jù)：

捕獲SMTP數(shù)據(jù)：

tcpdump -i eth1 'tcp[tcpflags] & tcp-syn != 0 and tcp[tcpflags] & tcp-ack != 0'

捕獲http GET請求：

tcpdump -i eth1 'tcp[(tcp[12]>>2):4] = 0x47455420'

捕獲ssh響應：

tcpdump -i eth1 'tcp[(tcp[12]>>2):4] = 0x5353482D'

5. 高級過濾和保存：

實時捕獲eth0網(wǎng)卡8080端口的GET請求，并將數(shù)據(jù)保存到GET.log文件：

tcpdump -i eth0 '((port 8080) and (tcp[(tcp[12]>>2):4]=0x47455420))' -nnAl -w /tmp/GET.log

捕獲指定數(shù)量的SYN包 (-c參數(shù)指定捕獲包數(shù)量)：

time tcpdump -nn -i eth0 'tcp[tcpflags] = tcp-syn' -c 10

這些命令示例提供了tcpdump的基本用法，您可以根據(jù)實際需求調(diào)整參數(shù)進行更精細的網(wǎng)絡數(shù)據(jù)捕獲和分析。 請注意替換 eth0 和 eth1 為您的實際網(wǎng)卡名稱。