tcpdump 指令

tcpdump指令是一款sniffer工具，它可以列印所有經過網絡接口的資料包的頭資訊，也可以使用-w選項将資料包儲存到檔案中，友善以後分析。

文法

選項

執行個體

直接啟動tcpdump将監視第一個網絡接口上所有流過的資料包

監視指定網絡接口的資料包

如果不指定網卡，預設tcpdump隻會監視第一個網絡接口，一般是eth0，下面的例子都沒有指定網絡接口。

列印所有進入或離開sundown的資料包。

也可以指定ip,例如截獲所有210.27.48.1 的主機收到的和發出的所有的資料包

列印helios 與 hot 或者與 ace 之間通信的資料包

截獲主機210.27.48.1 和主機210.27.48.2 或210.27.48.3的通信

列印ace與任何其他主機之間通信的IP 資料包, 但不包括與helios之間的資料包.

如果想要擷取主機210.27.48.1除了和主機210.27.48.2之外所有主機通信的ip包，使用指令：

截獲主機hostname發送的所有資料

監視指定主機和端口的資料包 

如果想要擷取主機210.27.48.1接收或發出的telnet包，使用如下指令

對本機的udp 123 端口進行監視 123 為ntp的服務端口

監視指定網絡的資料包 

列印本地主機與Berkeley網絡上的主機之間的所有通信資料包

ucb-ether此處可了解為“Berkeley網絡”的網絡位址，此表達式最原始的含義可表達為：列印網絡位址為ucb-ether的所有資料包 

列印所有通過網關snup的ftp資料包

注意：表達式被單引号括起來了，這可以防止shell對其中的括号進行錯誤解析 

列印所有源位址或目标位址是本地主機的IP資料包

如果本地網絡通過網關連到了另一網絡，則另一網絡并不能算作本地網絡。

本文轉自 小楊_Ivan 51CTO部落格，原文連結:http://blog.51cto.com/aqiang/1895047