方法一：用tcpdump命令

sudo/usr/sbin/tcpdump-s0-X'tcp dst port 80'/usr/sbin/tcpdump-s0-X'tcp dst port 80'

把port改为你想要监听的端口即可在linux下监听某个端口的数据。但是打印出来的数据不是很人性化。

如果是udp，记得修改tcp为udp

tcpdump -i eth1 port 514

方法二：用ngrep命令

#如果没有ngrep命令，首先要安装

1  安装libpcap

下载地址   http://www.tcpdump.org/#latest-release

解压

tar -zxvf libpcap-1.4.0.tar.gz

进入目录

cd  libpcap-1.4.0

./configure

make

make install

yum install libpcap-devel.x86_64

2  安装ngrep

下载地址

git clone git://git.code.sf.net/p/ngrep/code ngrep-code

进入目录

cd ngrep-code

./configure --with-pcap-includes=/usr/local/include/pcap

make

make install

#然后可以指定端口 或者 正则表达式ngrep port80ngrep-q'^GET .* HTTP/1.[01]'#更详细的用法 参考

man ngrep

##################################

转自：https://blog.csdn.net/lihe55966/article/details/53611666

https://blog.csdn.net/linyu19872008/article/details/19154155

一般情况下Linux系统会自带tcpdump工具，如果系统没有安装，直接用命令安装就行了。

安装命令：yum install -y tcpdump

查看安装版本命令：tcpdump --help

查看网卡命令：

知道了网卡，就可以使用tcpdump工具针对服务器上的网卡监控、过滤网络数据。

tcpdump常用命令：

#抓取所有经过 eth0，目的或源地址是 192.168.29.162 的网络数据

命令：tcpdump -n -i eth0 host 192.168.29.162

# 源地址

命令：tcpdump -i eth1 src host 192.168.29.162

# 目的地址

命令：tcpdump -i eth1 dst host 192.168.29.162

#抓取当前服务器eth0网卡端口8080的网络数据

命令：tcpdump -n -i eth0 port 8080

#抓取mysql执行的sql语句

命令：tcpdump -i eth1 -s 0 -l -w - dst port 3306 | strings

#抓取mysql通讯的网络包(cap用wireshark打开)

命令tcpdump -n -nn -tttt -i eth0 -s 65535 'port 3306' -w 20160505mysql.cap

#抓取SMTP 数据

命令：tcpdump -i eth1 'tcp[tcpflags] & tcp-syn != 0 and tcp[tcpflags] & tcp-ack != 0'

#抓取HTTP GET数据，"GET "的十六进制是 47455420

命令：tcpdump -i eth1 'tcp[(tcp[12]>>2):4] = 0x47455420'

#抓取SSH返回，"SSH-"的十六进制是 0x5353482D

命令：tcpdump -i eth1 'tcp[(tcp[12]>>2):4] = 0x5353482D'

#实时抓取端口号8080的GET包，然后写入GET.log

命令：tcpdump -i eth0 '((port 8080) and (tcp[(tcp[12]>>2):4]=0x47455420))' -nnAl -w /tmp/GET.log

#抓取指定SYN个数，-c 参数指定抓多少个包。

命令：time tcpdump -nn -i eth0 'tcp[tcpflags] = tcp-syn' -c 10

##########################

转自：https://baijiahao.baidu.com/s?id=1608203933112518175&wfr=spider&for=pc