使用tcpdump，在eth1口，抓取带有vlan的，ip1和ip2之间的，长度大于500的数据包(表达式)，不做反解，带链路层信息输出

要使用tcpdump抓取特定的数据包，需要构造一个正确的过滤表达式。针对您提出的需求，可以使用以下表达式：

tcpdump -i eth1 'vlan and (ip src ip1 or ip dst ip1) and (ip src ip2 or ip dst ip2) and (tcp or udp) and greater 500'

这里的参数解释如下：
- `-i eth1` 指定了监听的网络接口为eth1。
- `vlan` 过滤出带有VLAN标签的数据包。
- `(ip src ip1 or ip dst ip1)` 确保IP地址为ip1的数据包被包含，可以是源地址也可以是目的地址。
- `(ip src ip2 or ip dst ip2)` 确保IP地址为ip2的数据包被包含，同样可以是源地址也可以是目的地址。
- `(tcp or udp)` 限制只查看TCP或UDP协议的数据包，这是为了确保数据包长度大于500字节，因为ICMP协议的数据包长度通常不会超过500字节。
- `greater 500` 过滤出数据部分长度大于500字节的数据包。

注意，这里的 `ip1` 和 `ip2` 应该替换为您具体想要监控的IP地址。

此命令不会对捕获的数据包内容进行反解（即不会将IP地址、端口号等转换为域名或服务名称），并且会包含链路层的信息输出，因为tcpdump默认就会包含这些信息。

相关问题

tcpdump同时抓取AVB和ip数据包

要使用tcpdump同时抓取AVB（Audio Video Bridging）和IP数据包，可以使用以下命令：

tcpdump -i <interface> -s 0 -w output.pcap '(ether proto 0x22F0) or (ip)'

- `<interface>`：指定要监听的网络接口，如eth0或en0。
- `-s 0`：设置抓取的数据包最大长度为完整的数据包。
- `-w output.pcap`：将捕获的数据包保存到名为output.pcap的文件中。
- `(ether proto 0x22F0) or (ip)`：设置过滤条件，同时捕获AVB（以太网帧协议字段为0x22F0）和IP数据包。

执行命令后，tcpdump将开始监听指定接口上的流量，并将匹配AVB或IP协议的数据包保存到output.pcap文件中。你可以使用其他工具（如Wireshark）打开该文件进行进一步分析。

请注意，AVB是一种广泛应用于音视频传输的网络技术，具体的协议和端口号可能会因具体应用而有所不同。根据你的需求，你可以根据需要添加或修改过滤条件。请确保你在合法的环境下进行操作，并遵守相关法规和政策。

tcpdump同时抓取AVB和特定ip数据包

要使用tcpdump同时抓取AVB（Audio Video Bridging）和特定IP数据包，可以使用以下命令：

tcpdump -i <interface> -s 0 -w output.pcap '(ether proto 0x22F0) or (host <IP>)'

- `<interface>`：指定要监听的网络接口，如eth0或en0。
- `-s 0`：设置抓取的数据包最大长度为完整的数据包。
- `-w output.pcap`：将捕获的数据包保存到名为output.pcap的文件中。
- `(ether proto 0x22F0) or (host <IP>)`：设置过滤条件，同时捕获AVB（以太网帧协议字段为0x22F0）和指定IP地址的数据包。

将 `<IP>` 替换为你想要捕获的特定IP地址。

执行命令后，tcpdump将开始监听指定接口上的流量，并将匹配AVB或特定IP地址的数据包保存到output.pcap文件中。你可以使用其他工具（如Wireshark）打开该文件进行进一步分析。

请注意，根据你的具体需求，你可以根据需要添加或修改过滤条件。请确保你在合法的环境下进行操作，并遵守相关法规和政策。