port 端口
host 请求来源ip
-w test.cap 写入到抓包文件test.cap
tcpdump -X -s 0 'tcp port 80 and host x.x.x.x and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)' -w test.cap
如果存在代理转发不知道目标host的话,可以把host x.x.x.x 去掉然后进行监控
下载抓包文件
sz test.cap
抓包文件条件查询
模糊查询请求路径(url带getData)
http.request.uri contains "getData"
过滤请求来源地址
ip.src==10.172.10.201
过滤接收地址
ip.dst_host==x.x.x.x
转载请注明博客出处:http://www.cnblogs.com/cjh-notes/