linux自带抓包工具tcpdump使用说明

tcpdump是个强大的网络分析工具，有很多细致的规则可以定义。

参考：http://www.cnblogs.com/ggjucheng/archive/2012/01/14/2322659.html

命令格式：tcpdump [-nn] [-i 接口] [-w 储存档名] [-c 次数] [-Ae][-qX]

参数说明：

-a 　　　将网络地址和广播地址转变成名字；

-d 　　　将匹配信息包的代码以人们能够理解的汇编格式给出；

-dd 　　 将匹配信息包的代码以c语言程序段的格式给出；

-ddd 　　将匹配信息包的代码以十进制的形式给出；

-e 　　　在输出行打印出数据链路层的头部信息；

-f 　　　将外部的Internet地址以数字的形式打印出来；

-l 　　　使标准输出变为缓冲行形式；

-n 　　　不把网络地址转换成名字；

-nn        直接以 IP 及 port number 显示，而非主机名与服务名称

-t 　　　在输出的每一行不打印时间戳；

-v 　　　输出一个稍微详细的信息，例如在ip包中可以包括ttl和服务类型的信息；

-vv 　　 输出详细的报文信息；

-c 　　　在收到指定的包的数目后，tcpdump就会停止；

-F 　　　从指定的文件中读取表达式,忽略其它的表达式；

-i 　　　指定监听的网络接口；

-r 　　　从指定的文件中读取包(这些包一般通过-w选项产生)；

-w 　　　直接将包写入文件中，并不分析和打印出来；

-T 　　　将监听到的包直接解释为指定的类型的报文，常见的类型有rpc （远程过程调用）和snmp（简单网络管理协议；）

第一种是关于类型的关键字，主要包括host，net，port, 例如 host 210.27.48.2，指明 210.27.48.2是一台主机，net 202.0.0.0 指明 202.0.0.0是一个网络地址，port 23 指明端口号是23。如果没有指定类型，缺省的类型是host.
第二种是确定传输方向的关键字，主要包括src , dst ,dst or
src, dst and src ,这些关键字指明了传输的方向。举例说明，src 210.27.48.2
,指明ip包中源地址是210.27.48.2 , dst net 202.0.0.0 指明目的网络地址是202.0.0.0
。如果没有指明方向关键字，则缺省是src or dst关键字。
第三种是协议的关键字，主要包括
fddi,ip,arp,rarp,tcp,udp等类型。Fddi指明是在FDDI(分布式光纤数据接口网络)上的特定
的网络协议，实际上它是"ether"的别名，fddi和ether具有类似的源地址和目的地址，所以可以将fddi协议包当作ether的包进行处理和
分析。其他的几个关键字就是指明了监听的包的协议内容。如果没有指定任何协议，则tcpdump将会监听所有协议的信息包。
 
除了这三种类型的关键字之外，其他重要的关键字如下：gateway, broadcast,less,greater,还有三种逻辑运算，取非运算是
'not ' '! ', 与运算是'and','&&';或运算 是'or'
,'││'；这些关键字可以组合起来构成强大的组合条件来满足人们的需要，下面举几个例子来说明。

tcpdump -i eth0 -w /var/test.pcap   抓取网口0上面的数据包，存为文件/var/test.pcap

tcpdump -i eth0 -w tcpdump.pcap -s 0 '(tcp and (dst host 192.168.0.2) ) '  -w tcpdump.pcap是指将抓取到的包存到tcpdump.pcap这个文件中，-s 0是指尽可能大的抓取每个包（尽量不截断），最后面的单引号里的内容是过滤规则。

tcpdump -r test.pcap -w http_only.pcap -s 0 tcp port 80   -r test.pcap是指从test.pcap中读包。这个指令的意思是从test.pcap中读包后，根据“tcp port 80”这个过滤规则筛选出满足要求的包，将这些包存到http_only.pcap这个文件中去。

A想要截获所有210.27.48.1 的主机收到的和发出的所有的数据包：
#tcpdump host 210.27.48.1
B想要截获主机210.27.48.1 和主机210.27.48.2 或210.27.48.3的通信，使用命令：（在命令行中适用　括号时，一定要
#tcpdump host 210.27.48.1 and \ (210.27.48.2 or 210.27.48.3 \)
C如果想要获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包，使用命令：
#tcpdump ip host 210.27.48.1 and ! 210.27.48.2
D如果想要获取主机210.27.48.1接收或发出的telnet包，使用如下命令：
#tcpdump tcp port 23 host 210.27.48.1
E 对本机的udp 123 端口进行监视 123 为ntp的服务端口
# tcpdump udp port 123

F 系统将只对名为hostname的主机的通信数据包进行监视。主机名可以是本地主机，也可以是网络上的任何一台计算机。下面的命令可以读取主机hostname发送的所有数据：
#tcpdump -i eth0 src host hostname
G 下面的命令可以监视所有送到主机hostname的数据包：
#tcpdump -i eth0 dst host hostname
H  我们还可以监视通过指定网关的数据包：
#tcpdump -i eth0 gateway Gatewayname
I 如果你还想监视编址到指定端口的TCP或UDP数据包，那么执行以下命令：
#tcpdump -i eth0 host hostname and port 80
J 如果想要获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包
，使用命令：
#tcpdump ip host 210.27.48.1 and ! 210.27.48.2
K 想要截获主机210.27.48.1 和主机210.27.48.2 或210.27.48.3的通信，使用命令
：（在命令行中适用　括号时，一定要
#tcpdump host 210.27.48.1 and \ (210.27.48.2 or 210.27.48.3 \)
L 如果想要获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包，使用命令：
　#tcpdump ip host 210.27.48.1 and ! 210.27.48.2
M 如果想要获取主机210.27.48.1接收或发出的telnet包，使用如下命令：
　#tcpdump tcp port 23 host 210.27.48.1