1.tcpdump常用参数
-i 指定监听的网络接口;
-c 截取指定数目的数据包;
-n 不把网络地址转换成名字;
-nn 不把端口和网络地址转换成名称;
-a 将网络地址和广播地址转变成名字;
-v 输出一个稍微详细的信息,如在ip包中包括ttl和服务类型的信息;
-vv 输出详细的报文信息;
2.tcpdump表达式
类型的关键字,主要包括host,net,port, 例如 host 192.200.122.213。如果没有指定类型,缺省的类型是host 。
协议的关键字,主要包括fddi,ip ,arp,rarp,tcp,udp icmp,802.1Q等,缺省监听所有协议的数据包。
传输方向的关键字,主要包括src , dst ,dst or src, dst and src ,这些关键字指明传输方向,缺省是src or dst关键字 。
逻辑运算主要有三种逻辑运算符.取非运算是‘not’ ‘! ‘、与运算是’and’ ’&&’、或运算是’or’ ’||’
举例:1)tcpdump -i eth1 host 10.5.248.1 and port 22 -c 20 -n
2)tcpdump -i eth1 host 10.5.248.1 and icmp -c 20 -n
3)tcpdump -i any dst 10.5.248.1 and port 22 -c 20 -n
