Linux命令tcpdump的

tcpdump的轉儲交通網絡

說明 ：

tcpdump是一個共同的數據包嗅探器的命令行下運行。 它允許用戶攔截和顯示的TCP / IP和其他數據包被發送或接收過一個網絡，該計算機連接。

例子 ：

tcpdump的一順1500 eth0的192.168.1.0/24 -瓦特川芎嗪/ xxx.pcap

eth0的是接口的名稱是您的設備上的接口集合。 如果您要篩選的基礎上的網絡地址，你應該把上面，如果過濾器根據主機，將其更改為'的主機 192.168.1.0'。 使用- S 1500 1500顯示正常大小的包你想捕捉的。 如果你沒有定義 1500年，將捕獲的數據包顯示不完整details. - W是用於保存文件到一個特定的文件夾。 通過定義的文件擴展名。pcap函數，你可以雙擊該文件以打開它通過以太網

要打印所有數據包到達或離開日落：

tcpdump的主機日落

tcpdump的主機日落，我eth2

tcpdump的鎢test.pcap，我eth2 TCP端口6881

tcpdump的鎢test.pcap，我eth1使用TCP端口6881或udp \（33210或33220 \

要打印太陽神之間的交通和熱水或王牌：
tcpdump的主機赫利俄斯和\（熱或王牌\）

要打印所有IP數據包和任何主機之間的王牌，除了太陽神：
tcpdump的IP主機的王牌，而不是太陽神

要打印所有交通本地主機和主機之間伯克利：
tcpdump的淨臍血醚

要打印所有FTP流量通過互聯網網關 snup：（請注意，
表達式引用的外殼，以防止從（誤）解釋
括號內）：
tcpdump的'門戶snup和（端口FTP或FTP的數據）'

要打印的交通也注定既不來源於本地主機（如
你到另外一個門戶網，這東西不應該讓你上
本地網）。
tcpdump的知識產權，而不是淨localnet

要打印的開始和結束數據包（SYN和FIN數據包）各
的TCP會話，涉及非本地主機。
tcpdump的的TCP [tcpflags]＆（TCP的的SYN | TCP的鰭）！= 0 src和dst的，而不是淨localnet'

要打印所有的IPv4和HTTP數據包從端口80，即只打印
數據包包含數據，而不是，例如，SYN和FIN數據包和
應答只包。 （IPv6是在行使作為一個讀者。）
tcpdump的'TCP端口80和（（（知識產權[2:2] - （（知識產權[0]＆0xf）<<2）） - （（的TCP [12]＆0xf0）>> 2））！= 0）'

要打印的IP數據包的長度超過 576字節的發送通過網關 snup：
tcpdump的'和IP網關snup [2:2]> 576'

要打印IP廣播或組播數據包發送不通過以太
ernet廣播或多播：
tcpdump的'醚[0]＆1 = 0和IP [16]> = 224'

要打印所有的ICMP數據包沒有迴聲請求 /答复（即不
平包）：
tcpdump的'的ICMP [icmptype]！= ICMP的迴聲和ICMP [icmptype]！= ICMP的echoreply'