1、tcpdump是對網路上的資料包進行截獲的包分析工具；

2、安裝：yum install tcpdump(yum安裝即可)，安裝完成之後建立一個資料夾，專門存放抓取資料儲存的檔案，執行tcpdump相關命令在該檔案下執行就可以了；

3、例子：抓取網絡卡eht0  及192.168.168.18ip和8081埠；

                 命令：tcpdump -i eht0  -w file.cap host 192.168.168.18 and tcp port 8081；

               -w ：引數指定將監聽到的資料包寫入檔案中儲存，file.cap就是該檔案。

               -i   ：引數指定tcpdump監聽的網路介面。

注意：每個伺服器的網絡卡不一定是eht0，先使用ipconfig檢視清楚自己又幾個網絡卡，要監聽那個 叫什麼名字等。

然後再檢視儲存的檔案就可以了！

----------------------------------------------------------------------------------------------------------------

抓取到檔案之後我將檔案傳到我的windows上面，這裡就涉及到一個如何開啟cap檔案的問題；

我用的是Wireshark，開啟之後顯示如下圖：

Wireshark下載地址：http://www.onlinedown.net/soft/2883.htm

解釋一下上圖三行的具體意義：

1、最上面為資料包列表，用來顯示截獲的每個資料包的總結性資訊；

2、中間為協議樹，用來顯示選定的資料包所屬的協議資訊；

3、最下邊是以十六進位制形式表示的資料包內容，用來顯示資料包在物理層上傳輸時的最終形式。

資料包列表中，第一列是編號（如第1個包），第二列是擷取時間（0.000000），第三列source

協議樹可以得到被截獲資料包的更多資訊，如主機的MAC地址（Ethernet II）、IP地址（Internet 
protocol）、UDP埠號（user datagram protocol）以及UDP協議的具體內容（data）。

另外在排查問題的時候，為了更準確的定位問題，會對抓的包利用Wireshark做過濾，參考-->https://blog.csdn.net/wojiaopanpan/article/details/69944970；

我這裡具體做的過濾就是我的伺服器通過網絡卡單向發出去的包，原理就是源地址source發往目標的就是單向的；

過濾條件命令“ip.src eq 192.168.60.60”；如：