《神探tcpdump终结招》-linux命令五分钟系列之四十三

【系列文章】
《神探tcpdump第一招》-linux命令五分钟系列之三十五
《神探tcpdump第二招》-linux命令五分钟系列之三十六
《神探tcpdump第三招》-linux命令五分钟系列之三十七
《神探tcpdump第四招》-linux命令五分钟系列之三十八
《神探tcpdump第五招》-linux命令五分钟系列之三十九
《神探tcpdump第六招》-linux命令五分钟系列之四十
《神探tcpdump第七招》-linux命令五分钟系列之四十一
《神探tcpdump第八招》-linux命令五分钟系列之四十二
==
如果你已经认真阅读过了前面的八篇文章，那么tcpdump的最主要招数你应该已经驾轻就熟了，恭喜你。
在最后的“终结招”中，我们会给大家介绍一些之前没有提到的“小秘籍”，让大家在追查网络问题、进行协议分析时，可以用得上。

[秘籍一]
使用-A选项，则tcpdump只会显示ASCII形式的数据包内容，不会再以十六进制形式显示；
[秘籍二]
使用-XX选项，则tcpdump会从以太网部分就开始显示网络包内容，而不是仅从网络层协议开始显示。
[秘籍三]
使用如下命令，则tcpdump会列出所有可以选择的抓包对象。

# tcpdump -D
1.eth0
2.any (Pseudo-device that captures on all interfaces)
3.lo

[秘籍四]
如果想查看哪些ICMP包中“目标不可达、主机不可达”的包，请使用这样的过滤表达式：

icmp[0:2]==0x0301

[秘籍五]
要提取TCP协议的SYN、ACK、FIN标识字段，语法是：

tcp[tcpflags] & tcp-syn
tcp[tcpflags] & tcp-ack
tcp[tcpflags] & tcp-fin

[秘籍六]
要提取TCP协议里的SYN-ACK数据包，不但可以使用上面的方法，也可以直接使用最本质的方法：

tcp[13]==18

[秘籍七]
如果要抓取一个区间内的端口，可以使用portrange语法：

tcpdump -i eth0 -nn 'portrange 52-55' -c 1  -XX

好了，我们的《神探tcpdump系列文章》就写到这里了。
洋洋洒洒写了9篇文章，自觉内容编排还算合理，希望能让朋友们在网络捕获和流量分析方面有一定收获！