Tcpdump 的用法

　　，使用命令：

　　#tcpdump ip host 210.27.48.1 and ！ 210.27.48.2

　　K 想要截获主机210.27.48.1 和主机210.27.48.2 或210.27.48.3的通信，使用命令

　　：（在命令行中适用　括号时，一定要

　　#tcpdump host 210.27.48.1 and \ （210.27.48.2 or 210.27.48.3 \）

　　L 如果想要获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包，使用命令：

　　#tcpdump ip host 210.27.48.1 and ！ 210.27.48.2

　　M 如果想要获取主机210.27.48.1接收或发出的telnet包，使用如下命令：

　　#tcpdump tcp port 23 host 210.27.48.1

　　第三种是协议的关键字，主要包括fddi，ip ，arp，rarp，tcp，udp等类型

　　除了这三种类型的关键字之外，其他重要的关键字如下：gateway， broadcast，less，greater，还有三种逻辑运算，取非运算是 ''not '' ''！ ''， 与运算是''and''，''&&''；或运算 是''o　　r'' ，''||''；

　　第二种是确定传输方向的关键字，主要包括src ， dst ，dst or src， dst and src ，

　　如果我们只需要列出送到80端口的数据包，用dst port；如果我们只希望看到返回80端口的数据包，用src port.

　　#tcpdump –i eth0 host hostname and dst port 80 目的端口是80

　　或者

　　#tcpdump –i eth0 host hostname and src port 80 源端口是80 一般是提供http的服务的主机

　　如果条件很多的话 要在条件之前加and 或 or 或 not

　　#tcpdump -i eth0 host ！ 211.161.223.70 and ！ 211.161.223.71 and dst port 80

　　如果在ethernet 使用混杂模式 系统的日志将会记录

　　May 7 20：03：46 localhost kernel： eth0： Promiscuous mode enabled.

　　May 7 20：03：46 localhost kernel： device eth0 entered promiscuous mode

　　May 7 20：03：57 localhost kernel： device eth0 left promiscuous mode