tcpdump是一個(gè)Sniffer工具，實(shí)際上就是一個(gè)網(wǎng)絡(luò)上的抓包工具，同時(shí)還可以對(duì)抓到的包進(jìn)行分析。一般系統(tǒng)都默認(rèn)安裝。相關(guān)介紹及安裝說(shuō)明可參見(jiàn): Tcpdump的安裝和使用。


    tcpdump命令說(shuō)明：
tcpdump采用命令行方式，它的命令格式為：
tcpdump [ -adeflnNOpqStvx ] [ -c 數(shù)量 ] [ -F 文件名 ]
[ -i 網(wǎng)絡(luò)接口 ] [ -r 文件名] [ -s snaplen ]
[ -T 類型 ] [ -w 文件名 ] [表達(dá)式 ]

tcpdump的選項(xiàng)介紹:
-a 　　　將網(wǎng)絡(luò)地址和廣播地址轉(zhuǎn)變成名字；
-d 　　　將匹配信息包的代碼以人們能夠理解的匯編格式給出；
-dd 　　　將匹配信息包的代碼以c語(yǔ)言程序段的格式給出；
-ddd 　　　將匹配信息包的代碼以十進(jìn)制的形式給出；
-e 　　　在輸出行打印出數(shù)據(jù)鏈路層的頭部信息；
-f 　　　將外部的Internet地址以數(shù)字的形式打印出來(lái)；
-l 　　　使標(biāo)準(zhǔn)輸出變?yōu)榫彌_行形式；
-n 　　　不把網(wǎng)絡(luò)地址轉(zhuǎn)換成名字；
-t 　　　在輸出的每一行不打印時(shí)間戳；
-v 　　　輸出一個(gè)稍微詳細(xì)的信息，例如在ip包中可以包括ttl和服務(wù)類型的信息；
-vv 　　　輸出詳細(xì)的報(bào)文信息；
-c 　　　在收到指定的包的數(shù)目后，tcpdump就會(huì)停止；
-F 　　　從指定的文件中讀取表達(dá)式,忽略其它的表達(dá)式；
-i 　　　指定監(jiān)聽(tīng)的網(wǎng)絡(luò)接口；
-r 　　　從指定的文件中讀取包(這些包一般通過(guò)-w選項(xiàng)產(chǎn)生)；
-w 　　　直接將包寫入文件中，并不分析和打印出來(lái)；
-T 　　　將監(jiān)聽(tīng)到的包直接解釋為指定的類型的報(bào)文，常見(jiàn)的類型有rpc （遠(yuǎn)程過(guò)程 調(diào)用）和snmp（簡(jiǎn)單　　　　　　　網(wǎng)絡(luò)管理協(xié)議；）

      -s      設(shè)置抓包大小限制，默認(rèn)抓包大小限制在96個(gè)BYTE（包括以太網(wǎng)幀）。修改參數(shù)為：-s 0。0 則忽略包的大小限制，按包的長(zhǎng)度實(shí)際長(zhǎng)度抓取。

    例：tcpdump -vv tcp port 5270 -c 100 -s 1500 -w /opt/sniffer.pack