tcpdump

tcpdump命令是一款sniffer工具，它可以打印所有经过网络接口的数据包的头信息，也可以使用-w选项将数据包保存到文件中，方便以后分析。来自: http://man.linuxde.net/tcpdump

关键字

• 第一种是关于类型的关键字，主要包括host，net，port, 例如 host 210.27.48.2，指明 210.27.48.2是一台主机，net 202.0.0.0 指明 202.0.0.0是一个网络地址，port 23 指明端口号是23。如果没有指定类型，缺省的类型是host.

• 第二种是确定传输方向的关键字，主要包括src , dst ,dst or src, dst and src ,这些关键字指明了传输的方向。举例说明，src 210.27.48.2 ,指明ip包中源地址是210.27.48.2 , dst net 202.0.0.0 指明目的网络地址是202.0.0.0 。如果没有指明方向关键字，则缺省是src or dst关键字。

• 第三种是协议的关键字，主要包括fddi,ip,arp,rarp,tcp,udp等类型。Fddi指明是在FDDI(分布式光纤数据接口网络)上的特定 的网络协议，实际上它是"ether"的别名，fddi和ether具有类似的源地址和目的地址，所以可以将fddi协议包当作ether的包进行处理和 分析。其他的几个关键字就是指明了监听的包的协议内容。如果没有指定任何协议，则tcpdump将会监听所有协议的信息包。

除了这三种类型的关键字之外，其他重要的关键字如下：gateway, broadcast,less,greater,还有三种逻辑运算，取非运算是 'not ' '! ', 与运算是'and','&&;或运算 是'or' ,'||'；这些关键字可以组合起来构成强大的组合条件来满足人们的需要，下面举几个例子来说明。

选项

• -w<数据包文件>：把数据包数据写入指定的文件。
• -i<网络界面>：使用指定的网络截面送出数据包

示例

• tcpdump -n -i eth1 host 61.141.64.99 and 120.76.25.40 -w target.cap
  抓取 61.141.64.99 和120.76.25.40之间的数据包，并导出到target.cap
• 指定端口数据 port
  tcpdump -i eth1 port 8080 -w target.cap
• 指定抓包数量 -c
  tcpdump -i eth1 port 8080 -w target.cap -c 10
• 指定host
  tcpdump -i eth1 port 8080 and host 61.141.64.99 -w target.cap -c 10
• 想要截获主机210.27.48.1 和主机210.27.48.2 或210.27.48.3的通信（在命令行中适用　括号时，一定要/）
  tcpdump host 210.27.48.1 and / (210.27.48.2 or 210.27.48.3 /)
• 第二种是确定传输方向的关键字，主要包括src , dst ,dst or src, dst and src ,
  如果我们只需要列出送到80端口的数据包，用dst port；如果我们只希望看到返回80端口的数据包，用src port
  • tcpdump –i eth0 host hostname and dst port 80 目的端口是80
  • tcpdump –i eth0 host hostname and src port 80 源端口是80 一般是提供http的服务的主机
• 如果条件很多的话 要在条件之前加and 或 or 或 not