tcpdump

　　tcpdump是一种网络分析工具,它支持针对网络层、协议、主机、网络或端口的过滤，并提供and、or、not等逻辑语句来帮助你去掉无用的信息

1、关键字类型

　　第一种是关于类型的关键字，主要包括host，net，port, 例如 host 210.27.48.2，指明 210.27.48.2是一台主机，net 202.0.0.0 指明 202.0.0.0是一个网络地址，port 23 指明端口号是23。如果没有指定类型，缺省的类型是host.

　　第二种是确定传输方向的关键字，主要包括src , dst ,dst or src, dst and src ,这些关键字指明了传输的方向。举例说明，src 210.27.48.2 ,指明ip包中源地址是210.27.48.2 , dst net 202.0.0.0 指明目的网络地址是202.0.0.0 。如果没有指明方向关键字，则缺省是src or dst关键字。

　　第三种是协议的关键字，主要包括fddi,ip,arp,rarp,tcp,udp等类型。Fddi指明是在FDDI(分布式光纤数据接口网络)上的特定 的网络协议，实际上它是”ether”的别名，fddi和ether具有类似的源地址和目的地址，所以可以将fddi协议包当作ether的包进行处理和 分析。其他的几个关键字就是指明了监听的包的协议内容。如果没有指定任何协议，则tcpdump将会监听所有协议的信息包。

2、部分选项：

-i  接口  　　　　 //指定捕获接口-w filename　　　//指定捕获后保存到文件-n 　　　　　　　　//不转换主机到域名，直接显示主机号和端口号-t  　　　　　　　//不显示每个捕获行的时间-e  　　　　　　　//只显示捕获的数据链接层-v              //详细显示

3、例子：

(1)捕捉两台PC之间的ARP包

 tcpdump host 1.1.1.1 and host 2.2.2.2 and arp -e -v -n 

(2)捕捉源地址为自己IP，同时协议为ICMP的数据包

tcpdump src host 1.1.1.1 and icmp -v -n

(3)捕捉目的端口为TCP 22，源地址为自己地址的数据包

tcpdump src host 1.1.1.1 and tcp dst port 22 -v -n

(4)捕捉源地址为自己MAC地址，目的IP为10.0.2.253的所有数据包

tcpdump ether src host aa:aa:aa:aa:aa:aa and dst host 10.0.2.253 -v -n

(5)捕捉源地址为自己地址，目的网段为10.0.0.0/16网段的数据包

tcpdump src host 1.1.1.1 and dst net 10.0.0.0/16

(6)源ip为1.1.1.1目的ip为2.2.2.2，同时目的端口为tcp 22的包

tcpdump src host 1.1.1.1 and dst host 2.2.2.2 and tcp dst  port 22

(7)抓捕本机网卡1的端口为23的包，只捕获3条

tcpdump -i eht0 src host and dst port 23 -c 3

(8) 将tcpdump与wireshark结合

tcpdump -i eth1 src host 192.168.1.69   -n -v -e  -w aa.cap 

参考：http://network.51cto.com/art/200512/15473.htm