tcpdump使用说明

  

tcpdump -t -e  -i eth0

            -a 　　　将网络地址和广播地址转变成名字；
　　　-d 　　　将匹配信息包的代码以人们能够理解的汇编格式给出；
　　　-dd 　　　将匹配信息包的代码以c语言程序段的格式给出；
　　　-ddd 　　　将匹配信息包的代码以十进制的形式给出；
　　　-e 　　　在输出行打印出数据链路层的头部信息；
　　　-f 　　　将外部的Internet地址以数字的形式打印出来；
　　　-l 　　　使标准输出变为缓冲行形式；
　　　-n 　　　不把网络地址转换成名字；
　　　-t 　　　在输出的每一行不打印时间戳；
　　　-v 　　　输出一个稍微详细的信息，例如在ip包中可以包括ttl和服务类型的信息；
　　　-vv 　　　输出详细的报文信息；
　　　-c 　　　在收到指定的包的数目后，tcpdump就会停止；
　　　-F 　　　从指定的文件中读取表达式,忽略其它的表达式；
　　　-i 　　　指定监听的网络接口；
　　　-r 　　　从指定的文件中读取包(这些包一般通过-w选项产生)；
　　　-w 　　　直接将包写入文件中，并不分析和打印出来；
　　　-T 　　　将监听到的包直接解释为指定的类型的报文，常见的类型有rpc （远程过程调用）和snmp（简单网络管理协议；）

用TCPDUMP捕获的TCP包的一般输出信息是：
　　src >; dst: flags data-seqno ack window urgent options

　　src >; dst:表明从源地址到目的地址,

        flags是TCP包中的标志信息,S 是SYN标志, F (FIN), P (PUSH) , R (RST) "." (没有标记);

        data-seqno是数据包中的数据的顺序号,

        ack是下次期望的顺序号,

        window是接收缓存的窗口大小,

        urgent表明数据包中是否有紧急指针.

        options是选项.

 

注意：

网卡的板上RAM小以及网卡与计算机内存间的数据通道相对较慢会引起麻烦。TCP缺省的Rx窗口设置为32kB，也就是说与你在同一子网的一台较快的计算机会一下子发给你32kB的数据，而不会停下来看看你是否正常地接收到了它们。

你可以用cat /proc/net/dev检查操作状态，它会显示出现的丢弃或覆盖状况。
cat /proc/net/dev
Inter-|   Receive                                                |  Transmit
 face |bytes    packets errs drop fifo frame compressed multicast|bytes    packets errs drop fifo colls carrier compressed
    lo:    1075      10    0    0    0     0          0         0     1075      10    0    0    0     0       0          0
  eth0:       0       0    0    0    0     0          0         0        0       0    0    0    0     0       0          0
  eth1:       0       0    0    0    0     0          0         0        0       0    0    0    0     0       0          0
  eth2:       0       0    0    0    0     0          0         0        0       0    0    0    0     0       0          0
  eth3: 2776647    2253    0    0    0     0          0         0   121879     258    0    0    0     0    1749          0