分析&回答

(1) 想要截获所有210.27.48.1 的主机收到的和发出的所有的分组：

#tcpdump host 210.27.48.1
复制代码

(2) 想要截获主机210.27.48.1 和主机210.27.48.2或210.27.48.3的通信，使用命令(注意：括号前的反斜杠是必须的)：

#tcpdump host 210.27.48.1 and (210.27.48.2 or 210.27.48.3 )
复制代码

(3) 如果想要获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包，使用命令：

#tcpdump ip host 210.27.48.1 and ! 210.27.48.2
复制代码

(4) 如果想要获取主机192.168.228.246接收或发出的ssh包，并且不转换主机名使用如下命令：

#tcpdump -nn -n src host 192.168.228.246 and port 22 and tcp
复制代码

(5) 获取主机192.168.228.246接收或发出的ssh包，并把mac地址也一同显示：

# tcpdump -e src host 192.168.228.246 and port 22 and tcp -n -nn
复制代码

(6) 过滤的是源主机为192.168.0.1与目的网络为192.168.0.0的报头：

tcpdump src host 192.168.0.1 and dst net 192.168.0.0/24
复制代码

(7) 过滤源主机物理地址为XXX的报头：

tcpdump ether src 00:50:04:BA:9B and dst……
(为什么ether src后面没有host或者net？物理地址当然不可能有网络喽)。
复制代码

(8) 过滤源主机192.168.0.1和目的端口不是telnet的报头，并导入到tes.t.txt文件中：

Tcpdump src host 192.168.0.1 and dst port not telnet -l > test.txt
ip icmp arp rarp 和 tcp、udp、icmp这些选项等都要放到第一个参数的位置，用来过滤数据报的类型。
复制代码

反思&扩展

如何使用tcpdump监听来自eth0适配卡且通信协议为port 22，目标来源为192.168.1.100的数据包资料？

tcpdump -i eth0 -nn port 22 and src host 192.168.1.100
复制代码

如何使用tcpdump抓取访问eth0适配卡且访问端口为tcp 9080？

tcpdump -i eth0 dst 172.168.70.35 and tcp port 9080
复制代码

如何使用tcpdump抓取与主机192.168.43.23或着与主机192.168.43.24通信报文，并且显示在控制台上

tcpdump -X -s 1024 -i eth0 host (192.168.43.23 or 192.168.43.24) and  host 172.16.70.35

喵呜面试助手：一站式解决面试问题，你可以搜索微信小程序 [喵呜面试助手] 或关注 [喵呜刷题] -> 面试助手 免费刷题。如有好的面试知识或技巧期待您的共享！