應(yīng)用層
傳輸層
網(wǎng)絡(luò)層
數(shù)據(jù)鏈路層
物理層

1）tcpdump（傳輸／網(wǎng)絡(luò)層）

tcpdump -i eth0
tcpdump -i eth0 -vnn
-v：顯示包含有TTL，TOS值等等更詳細的信息
-n：不要做IP解析為主機名
-nn：不做名字解析和端口解析

更有針對性的抓包：
針對IP，網(wǎng)段，端口，協(xié)議

tcpdump -i eth0 -vnn host 192.168.0.154		--主機地址里邊只要包含地址有：192.168.0.154
tcpdump -i eth0 -vnn net 192.168.0.0/24		--抓取一個網(wǎng)段數(shù)據(jù)包
tcpdump -i eth0 -vnn port 22 
tcpdump -i eth0 -vnn  udp
tcpdump -i eth0 -vnn icmp
tcpdump -i eth0 -vnn arp
tcpdump -i eth0 -vnn iptcpdump -i eth0 -vnn src host 192.168.0.154
tcpdump -i eth0 -vnn dst host 192.168.0.154
tcpdump -i eth0 -vnn src port 22
tcpdump -i eth0 -vnn src host 192.168.0.253 and dst port 22tcpdump -i eth0 -vnn src host 192.168.0.154 or port 22
tcpdump -i eth0 -vnn src host 192.168.0.154 and not port 22 

2）wireshark

wireshark（windows sniffer）
抓取網(wǎng)絡(luò)數(shù)據(jù)包并進行逐層分解的協(xié)議分析軟件

yum -y install wireshark-gnome wireshark

抓捉包操作：
１、在圖形界面下執(zhí)行wireshark &
２、指定抓包的網(wǎng)卡
３、執(zhí)行數(shù)據(jù)包的抓取/或者指定過濾規(guī)則抓包
４、查看抓包的信息

3）iptraf

IPTraf 是一個基于控制臺的網(wǎng)絡(luò)監(jiān)視工具，主要用于收集 TCP 連接包和字節(jié)計數(shù)、接口統(tǒng)計和活動指示、TCP/UDP 交通分析、以及 LAN 站點包和字節(jié)計數(shù)之類的數(shù)據(jù)。
IPTraf 的功能包括：
1.一個顯示 TCP 標(biāo)志信息、包和字節(jié)計數(shù)、ICMP 細節(jié)、OSPF 包類型、以及超大 IP包警告的 IP 通信監(jiān)視器
2.顯示 IP、TCP、UDP、ICMP、非 IP 及其它 IP 包計數(shù)，IP 查驗值錯誤，界面接口活動及包大小計數(shù)的接口統(tǒng)計
3.一個為公用 TCP 和 UDP 程序端口顯示進入和出去的包計數(shù)的 TCP 和 UDP 服務(wù)監(jiān)視器
4.一個發(fā)現(xiàn)活躍主機并顯示它們的活動統(tǒng)計的 LAN 統(tǒng)計模塊
5.TCP、UDP 和其它協(xié)議顯示過濾器(因而您可以只查看您想看的通信數(shù)據(jù))
6.記錄日志
7.對以太網(wǎng)、FDDI、ISDN、SLIP、PPP、和回環(huán)接口的支持
8.對 Linux內(nèi)核的內(nèi)建原始套接字界面的利用，因而它能夠在類型廣泛的被支持的網(wǎng)卡上使用

安裝：

yum -y install iptraf

使用：

1)按IP數(shù)據(jù)連接查看eth0網(wǎng)卡中的數(shù)據(jù)通信情況

iptraf -i eth0

2)按不同網(wǎng)絡(luò)接口查看系統(tǒng)中的總體數(shù)據(jù)通信情況

iptraf -g

3)按TCP、UDP協(xié)議分別查看數(shù)據(jù)通信情況

iptraf s eth0

4)按數(shù)據(jù)包大小查看eth0網(wǎng)卡中的數(shù)據(jù)通信情況

iptraf z eth0

5)查看eth0網(wǎng)卡中各類網(wǎng)絡(luò)通信數(shù)據(jù)的詳細統(tǒng)計信息，并寫入到日志文件

iptraf -d eth0 -L /var/log/iptraf/traflog.eth0