Linux命令tcpdump的

tcpdump的转储交通网络

说明 ：

tcpdump是一个共同的数据包嗅探器，在命令行上运行。 它允许用户拦截和显示的TCP / IP和其他数据包被发送或通过网络接收到该计算机连接。

例子 ：

tcpdump的一顺1500 eth0的192.168.1.0/24 -瓦特川芎嗪/ xxx.pcap

eth0的是接口的名称是您的设备上的接口集合。 如果您要筛选的基础上的网络地址，你应该把上面，如果过滤主机为基础，将其更改为'的主机192.168.1.0'。 使用- S 1500 1500显示正常大小的包你想捕捉的。 如果你没有定义1500年，将显示不完整details.抓获- w的数据包是用来保存文件到一个特定的文件夹。 通过定义的文件扩展名。pcap函数，你可以双击该文件以打开它通过以太网

要打印所有数据包到达或离开日落：

tcpdump的主机日落

tcpdump的主机日落，我eth2

tcpdump的钨test.pcap，我eth2 TCP端口6881

tcpdump的钨test.pcap，我eth1使用TCP端口6881或udp \（33210或33220 \

要打印与赫利俄斯和热水或王牌交通：
tcpdump的主机赫利俄斯和\（热或王牌\）

要打印与ACE和太阳神以外的任何主机的所有IP数据包：
tcpdump的IP主机的王牌，而不是太阳神

要打印所有本地主机和主机伯克利分校交通：
tcpdump的净脐血醚

要打印通过互联网门户snup所有FTP流量：（请注意，
表达式引用，以防止（误）解释壳
括号内）：
tcpdump的'门户snup和（端口FTP或FTP的数据）'

要打印的交通也都来源于本地主机注定（如果
你到另外一个门户网，这东西不应该让你上
本地网）。
tcpdump的知识产权，而不是净localnet

要打印的开始和结束每一个数据包（数据包的SYN和FIN）
的TCP会话，涉及非本地主机。
tcpdump的的TCP [tcpflags]＆（TCP的的SYN | TCP的鳍）！= 0 src和dst的，而不是净localnet'

要打印所有的IPv4和HTTP数据包从端口80，即只打印
包含数据的数据包，而不是例如，SYN和FIN数据包和
应答只包。 （IPv6是留作读者的练习。）
tcpdump的'TCP端口80和（（（知识产权[2:2] - （（知识产权[0]＆0xf）<<2）） - （（的TCP [12]＆0xf0）>> 2））！= 0）'

要打印的IP数据包再通过网关发送超过576字节snup：
tcpdump的'和IP网关snup [2:2]> 576'

要打印IP广播或多播了不发送数据包通过以太
ernet广播或多播：
tcpdump的'醚[0]＆1 = 0和IP [16]> = 224'

要打印所有的ICMP数据包没有回音/答复的请求（即不
平包）：
tcpdump的'的ICMP [icmptype]！= ICMP的回声和ICMP [icmptype]！= ICMP的echoreply'