Linux-tcpdump命令详细讲解VIP专享

Linux tcpdump 命令详解 目录(?) [-] 1简介 2有用命令实例 3输出信息含义 3链路层头 3TCP 数据包 3UDP 数据包 3SMBCIFS 解码 3AFS 请求和回应 3KIP AppleTalk 协议 3IP 数据包破裂 3时间戳 4命令使用 4tcpdump 的简单项选择项介绍 4tcpdump 条件表达式 5附录 tcpdump 的表达元 简介用简单的话来定义 tcpdump，就是：dump the traffic on a network，根据使用者的定义对网络上的数据包进行截获的包分析工具。 tcpdump 可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤，并提供 and、or、not 等 逻辑语句来帮助你去掉无用的信息。有用命令实例默认启动tcpdump普通情况下，直接启动 tcpdump 将监视第一个网络接口上所有流过的数据包。监视指定网络接口的数据包tcpdump -i eth1假如不指定网卡，默认 tcpdump 只会监视第一个网络接口，一般是 eth0，下面的例子都没有指定网络接口。 监视指定主机的数据包打印所有进入或离开 sundown 的数据包.tcpdump host sundown也可以指定 ip,例如截获所有 210.27.48.1 的主机收到的和发出的所有的数据包tcpdump host 210.27.48.1打印 helios 与 hot 或者与 ace 之间通信的数据包tcpdump host helios and \( hot or ace \)截获主机 210.27.48.1 和主机 210.27.48.2 或 210.27.48.3 的通信tcpdump host 210.27.48.1 and \ (210.27.48.2 or 210.27.48.3 \)打印 ace 与任何其他主机之间通信的 IP 数据包, 但不包括与 helios 之间的数据包.tcpdump ip host ace and not helios假如想要猎取主机 210.27.48.1 除了和主机 210.27.48.2 之外所有主机通信的ip 包，使用命令：tcpdump ip host 210.27.48.1 and ! 210.27.48.2截获主机 hostname 发送的所有数据tcpdump -i eth0 src host hostname监视所有送到主机 hostname 的数据包tcpdump -i eth0 dst host hostname监视指定主机和端口的数据包假如想要猎取主机 210.27.48.1 接收或发出的 telnet 包，使用如下命令tcpdump tcp port 23 host 210.27.48.1对本机的 udp 123 端口进行监视 123 为 ntp 的服务端口tcpdump udp port 123监视指定网络的数据包打印本地主机与 Berkeley 网络上的主机之间的所有通信数据包(nt: ucb-ether, 此处可理解为'Berkeley 网络'的...