抓包工具tcpdump

TcpDump是Linux中强大的网络数据采集分析工具之一。根据使用者的定义对网络上的数据包进行截获的包分析工具。 基本上tcpdump的总的输出格式为:系统时间 来源主机.端口 > 目标主机.端口 数据包参数
下面举例说明：
Tcpdump src host 192.168.0.1 and dst port not telnet
　过滤源主机192.168.0.1和目的端口不是telnet的报头。
ip icmp arp rarp 和 tcp、udp、icmp这些选项等都要放到第一个参数的位置，用来过滤数据报的类型。
例如：
tcpdump ip src…
只过滤数据-链路层上的IP报头。

tcpdump udp and src host 192.168.0.1
只过滤源主机192.168.0.1的所有udp报头。
数据显示/输入输出　　TcpDump提供了足够的参数来让我们选择如何处理得到的数据，如下所示：-l 可以将数据重定向： 如tcpdump -l ＞tcpcap.txt将得到的数据存入tcpcap.txt文件中。-n 不进行IP地址到主机名的转换：　　如果不使用这一项，当系统中存在某一主机的主机名时，TcpDump会把IP地址转换为主机名显示，就像这样：eth0 ＜ ntc9.1165＞ router.domain.net.telnet，使用-n后变成了：eth0 ＜ 192.168.0.9.1165 ＞ 192.168.0.1.telnet。-nn 不进行端口名称的转换：　　上面这条信息使用-nn后就变成了：eth0 ＜ ntc9.1165 ＞ router.domain.net.23。-N 不打印出默认的域名：　　还是这条信息-N 后就是：eth0 ＜ ntc9.1165 ＞ router.telnet。　　-O 不进行匹配代码的优化。　　-t 不打印UNIX时间戳，也就是不显示时间。　　-tt 打印原始的、未格式化过的时间。　　-v 详细的输出，也就比普通的多了个TTL和服务类型。