1、抓所有网卡数据包，保存到指定路径

tcpdump -i any -w /oemdata/123.pcap&

一、tcpdump简介
tcpdump可以将网络中传送的数据包完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤，并提供and、or、not等逻辑语句来去掉无用的信息。

它是一个运行在命令行下的抓包工具，适用于大多数的类Unix系统操作系统(如linux,BSD等)。类Unix系统的 tcpdump 需要使用libpcap这个捕捉数据的库，就像 windows下的WinPcap一样。

二、tcpdump基本命令详解

-a 将网络地址和广播地址转变成名字；
-d 将匹配信息包的代码以人们能够理解的汇编格式给出；
-dd 将匹配信息包的代码以c语言程序段的格式给出；
-ddd 　　将匹配信息包的代码以十进制的形式给出；
-e 在输出行打印出数据链路层的头部信息，包括源mac和目的mac，以及网络层的协议；
-f 将外部的Internet地址以数字的形式打印出来；
-l 使标准输出变为缓冲行形式；
-n 指定将每个监听到数据包中的域名转换成IP地址后显示，不把网络地址转换成名字；
-nn 指定将每个监听到的数据包中的域名转换成IP、端口从应用名称转换成端口号后显示；
-t 在输出的每一行不打印时间戳；
-v 输出一个稍微详细的信息，例如在ip包中可以包括ttl和服务类型的信息；
-vv 输出详细的报文信息；
-c 在收到指定的包的数目后，tcpdump就会停止；
-F 从指定的文件中读取表达式,忽略其它的表达式；
-i 指定监听的网络接口；
-p 将网卡设置为非混杂模式，不能与host或broadcast一起使用
-q 快速输出，仅列出少数的传输协议信息；
-S 用绝对而非相对数值列出TCP关联数；
-r 从指定的文件中读取包(这些包一般通过-w选项产生)；
-w 直接将包写入文件中，并不分析和打印出来；
-T 将监听到的包直接解释为指定的类型的报文，常见的类型有rpc （远程过程调用）和snmp（简单网络管理协议）；
-X 告诉tcpdump命令，需要把协议头和包内容都原原本本的显示出来（tcpdump会以16进制和ASCII的形式显示），这在进行协议分析时是绝对的利器；

三、tcpdump过滤命令详解
过滤表达式大致可以分成三种，分别是“类型”、“方向”和“协议”，这三种类型的搭配组合就构成了过滤表达式。

类型的关键字：主要包括host，net，port。
例如：host 192.168.11.11，指定主机 192.168.11.11；net 192.168.1.0 指明192.168.1.0是一个网络地址；port 21 指明端口号是21。
如果没有指定类型，缺省的类型是host。

方向的关键字：主要包括src， dst ，dst or src，dst and src。
例如：src 192.168.11.11 ，指明数据包中源地址是192.168.11.11；dst net 192.168.1.0指明目的网络地址是 192.168.1.0。
如果没有指明方向关键字，则缺省是src or dst关键字。

协议的关键字：主要包括 ether，ip，arp，rarp，tcp，udp等协议。
如果没有指定任何协议，则tcpdump将会监听所有协议的数据包。

除了这三种类型的关键字外，其他重要的关键字如下：
gateway，broadcast，less，greater；
还有三种逻辑运算：非运算是 'not ’ ‘! ‘；与运算是’and’ ‘&&’；或运算是’or’ ‘||’。

四、tcpdump使用实例
在rmnet_data1网卡上监听与主机157.122.73.15之间的通信，结果保存在/oemdata/1234.pcap文件。

tcpdump -i rmnet_data1 host 157.122.73.15 -w /oemdata/1234.pcap&