分析 pcap 包可以用：Wireshark

命令案例

# 监听所有接口服务
tcpdump -i any host 127.0.0.1 -nn

# 监听所有端口 80 的服务
tcpdump -i any host 127.0.0.1 and port 80 -nn

# 监听所有接口服务并输出到文件 /var/log.pcap
tcpdump -i any host 127.0.0.1 -w /var/log.pcap

# 抓多个指定 ip 的包
tcpdump -i any host ip1 or ip2 or ip3 or ip4 -nn -c 100 -w /tmp/001.pcpa

# 抓指定 ip 和端口 模板
tcpdump -i any host ip and 端口 -nnv -c 包个数 -w /tmp/001.pcpa

参数介绍

-n：指定将每个监听到数据包中的域名转换成 IP 地址后显示，不把网络地址转换成名字
-nn：指定将每个监听到的数据包中的域名转换成 IP、端口从应用名称转换成端口号后显示
-vv：输出详细的报文信息
-v ：输出一个稍微详细的信息，例如在 ip 包中可以包括 ttl 和服务类型的信息
-c：在收到指定的包的数目后，tcpdump 就会停止
-i ：指定监听的网络接口(any 表示所有接口)
-w ：直接将包写入文件中，并不分析和打印出来；
-T ：将监听到的包直接解释为指定的类型的报文，常见的类型有 rpc （远程过程调用）和 snmp（简单网络管理协议；）
-X： 告诉 tcpdump 命令，需要把协议头和包内容都原原本本的显示出来（tcpdump 会以 16 进制和 ASCII 的形式显示），这在进行协议分析时是绝对的利器。
-r ：从指定的文件中读取包(这些包一般通过-w 选项产生)
可以指定端口：port 80
指定 ip：host 127.0.0.1
要指定 ip 和端口，需要用 and：host 127.0.0.1 and port 80