tcpdump man page总览 (SYNOPSIS) tcpdump [ -adeflnNOpqStvx ] [ -c count ] [ -F file ][ -i interface ] [ -r file ] [ -s snaplen ][ -T type ] [ -w file ] [ expression ]选项 (OPTIONS)-a试着把网络和广播地址转换成名称.-c count当收到 count 个报文后退出.-d把编译好的报文匹配模板 (packet-matching code) 翻译成可读形式, 传往标准输出, 然后退出.-dd把报文匹配模板 (packet-matching code) 以 C 程序片断的形式输出.-ddd把报文匹配模板 (packet-matching code) 以十进制数形式输出(前面加上总数).-e每行都显示链路层报头.-f用数字形式显示 '外部的' 互联网地址, 而不是字符形式 (这个选项用来绕 SUN 黄页服务器的问题 --- 一般说来它翻译外部网络数字地址的时候会长期挂起).-F把 file 的内容用作过滤表达式. 忽略命令行 上的表达式.-i监听 interface. 如果不指定接口, tcpdump 在系统的接口清单中, 寻找号码最小, 已经配置好的接口 (loopback 除外). 选中的时候会中断连接.-l行缓冲标准输出. 可用于捕捉数据的同时查看数据. 例如:``tcpdump -l | tee dat'' or ``tcpdump -l > dat & tail -f dat''.-n别把地址转换成名字 (就是说, 主机地址端口号等)-N不显示主机名字中的域名部分. 例如, 如果使用这个选项, tcpdump 只显示 ``nic'', 而不是 ``''.-O禁止运行报文匹配模板的优化器. 只有当你怀疑优化器有 bug 时才有用.-p禁止把接口置成 promiscuous 模式. 注意, 接口有可能因其他原因而处于 promiscuous 模式; 因此, '-p' 不能作为 `ether host {local-hw-addr} 或 ether broadcast' 的简写.-q快速输出. 显示较少的协议信息, 输出行会短一点点.-r从 file 中读入数据报 (文件是用 -w 选项创建的). 如果 file 是 ``-'', 就读标准输入.-s从每个报文中截取snaplen字节的数据,而不是缺省的68(如果是SunOS的NIT,最小值是96).68个字节适用于IP,IC M P,TCP和U D P,但是有可能截掉名字服务器和NFS报文的协议信息(见下面).输出时如果指定``[|proto]'',tcpdump可以指出那些捕捉量过小的数据报,这里的proto是截断发生处的协议层名称.注意,采用更大的捕捉范围既增加了处理报文的时间,又相应的减少了报文的缓冲数量,可能导致报文的丢失.你应该把snaplen设的尽量小,只要能够容纳你需要的协议信息就可以了.-T把通过 "expression"挑选出来的报文解释成指定的 type. 目前已知的类型有: rpc (远程过程调用 R emote Procedure Call), rtp (实时应用协议R eal-Time A pplications protocol), rtcp (实时应用控制协议 R eal-Time A pplications control protocol), vat (可视音频工具V isual A udio Tool), 和 wb (分布式白板 distributed W hite B oard).-S显示绝对的, 而不是相对的 TCP 序列号.-t禁止显示时戳标志.-tt显示未格式化的时戳标志.-v(稍微多一点) 繁琐的输出. 例如, 显示 IP 数据报中的生存周期和服务类型.-vv更繁琐的输出. 例如, 显示 NFS 应答报文的附加域.-w把原始报文存进file,而不是分析和显示.它们可以以后用-r选项显示.如果file是``-'',就写往标准输出.-x以16进制数形式显示每一个报文(去掉链路层报头后).可以显示较小的完整报文,否则只显示snaplen个字节.expression用来选择要转储的数据报.如果没有指定expression,就转储网络的全部报文.否则,只转储相对expression为`true'的数据报.expression一个或多个原语(primitive)组成.原语通常由一个标识(id,名称或数字),和标识前面的一个或多个修饰子(qualifier)组成.修饰子有三种不同的类型: type类型修饰子指出 标识名称或标识数字 代表 什么类型的东西. 可以使用的类型有 host, net 和 port. 例如, `host foo', `net 128.3', `port 20'. 如果不指定 类型修饰子, 就使用缺省的 host .dir方向修饰子指出相对于标识的传输方向(数据是传入还是传出标识).可以使用的方向有 src, dst, src or dst 和 src and dst. 例如, `src foo', `dst net 128.3', `src or dst port ftp-data'. 如果不指定方向修饰子,就使用缺省的srcordst.对于`null'链路层(就是说象slip之类的点到点协议),用inbound和outbound修饰子指定所需的传输方向.proto协议修饰子要求匹配指定的协议.可以使用的协议有: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp 和 udp. 例如, `ether src foo', `arp net 128.3', `tcp port 21'. 如果不指定协议修饰子,就使用所有符合类型的协议.例如,`srcfoo'指`(ip或arp或rarp)srcfoo'(注意后者不符合语法),`netbar'指`(ip或arp或rarp)netbar',`port53'指`(tcp或udp)port53'.[`fddi'实际上是`ether'的别名;分析器把它们视为``用在指定网络接口上的数据链路层.''F DD I报头包含类似于以太协议的源目地址,而且通常包含类似于以太协议的报文类型,因此你可以过滤F DD I域,就象分析以太协议一样.F DD I报头也包含其他域,但是你不能在过滤器表达式里显式描述.]作为上述的补充,有一些特殊的`原语'关键字,它们不同于上面的模式:gateway,broadcast,less,greater和数学表达式.这些在后面有叙述.更复杂的过滤器表达式可以通过and,or和not连接原语来组建.例如, `host foo and not port ftp and not port ftp-data'. 为了少敲点键, 可以忽略相同的修饰子. 例如, `tcp dst port ftp or ftp-data or domain' 实际上就是 `tcp dst port ftp or tcp dst port ftp-data or tcp dst port domain'.允许的原语有:dst host host如果报文中IP的目的地址域是host,则逻辑为真.host既可以是地址,也可以是主机名.src host host如果报文中IP的源地址域是host,则逻辑为真.host host如果报文中IP的源地址域或者目的地址域是host,则逻辑为真.上面所有的host表达式都可以加上ip,arp,或rarp关键字做前缀,就象: ip host host 它等价于: ether proto \ip and host host 如果host是拥有多个IP地址的主机名,它的每个地址都会被查验.ether dst ehost tcpdump -i eth0 -n ether dst e0:cb:4e:fe:4d:8c如果报文的以太目的地址是ehost,则逻辑为真.ehost既可以是名字(/etc/ethers里有),也可以是数字(有关数字格式另见ethers(3N)).ether src ehost如果报文的以太源地址是ehost,则逻辑为真.ether host ehost如果报文的以太源地址或以太目的地址是ehost,则逻辑为真.gateway host如果报文把host当做网关,则逻辑为真.也就是说,报文的以太源或目的地址是host,但是IP的源目地址都不是host.host必须是个主机名,而且必须存在/etc/hosts和/etc/ethers中.(一个等价的表达式是ether host ehost and not host host 对于host/ehost,它既可以是名字,也可以是数字.)dst net net 如果报文的IP目的地址属于网络号net,则逻辑为真.net既可以是名字(存在/etc/networks中),也可以是网络号.(详见networks(4)).src net net 如果报文的IP源地址属于网络号net,则逻辑为真.net net如果报文的IP源地址或目的地址属于网络号net,则逻辑为真.net net mask mask tcpdump -i eth0 -n net 192.168.1.0 mask 255.255.255.0如果IP地址匹配指定网络掩码(netmask)的net,则逻辑为真.本原语可以用src或dst修饰.net net/len如果IP地址匹配指定网络掩码的net,则逻辑为真,掩码的有效位宽为len.本原语可以用src或dst修饰.dst port port如果报文是ip/tcp或ip/udp,并且目的端口是port,则逻辑为真.port是一个数字,也可以是/etc/services中说明过的名字(参看tcp(4P)和udp(4P)).如果使用名字,则检查端口号和协议.如果使用数字,或者有二义的名字,则只检查端口号(例如,dst port513将显示tcp/login的数据和udp/who的数据,而port domain将显示tcp/domain和udp/domain的数据).src port port如果报文的源端口号是port,则逻辑为真.port port如果报文的源端口或目的端口是port,则逻辑为真.上述的任意一个端口表达式都可以用关键字tcp或udp做前缀,就象:tcp src port port 它只匹配源端口是port的TCP报文.less length tcpdump -i eth0 -n less 64 长度小于等于64如果报文的长度小于等于length,则逻辑为真.它等同于: len <= length.greater length tcpdump -i eth0 -n greater 1400 大于等于1400如果报文的长度大于等于length,则逻辑为真.它等同于: len >= length.ip proto protocol如果报文是IP数据报(参见ip(4P)),其内容的协议类型是protocol,则逻辑为真.Protocol可以是数字,也可以是下列名称中的一个:icmp,igrp,udp,nd,或tcp.注意这些标识符tcp,udp,和icmp也是关键字,所以必须用反斜杠(\)转义,在C-shell中应该是\\.ether broadcast tcpdump -i eth0 -nv ether broadcast 2层广播如果报文是以太广播报文,则逻辑为真.关键字ether是可选的.ip broadcast tcpdump -i eth0 -nv ip broadcast 3层广播如果报文是IP广播报文,则逻辑为真.Tcpdump检查全0和全1广播约定,并且检查本地的子网掩码.ether multicast如果报文是以太组播传送报文(multicast),则逻辑为真.关键字ether是可选的.这实际上是`ether[0]&1!=0'的简写.ip multicast如果报文是IP组播传送报文,则逻辑为真.ether proto protocol如果报文协议属于以太类型的protocol,则逻辑为真.Protocol可以是数字,也可以是名字,如ip,arp,或rarp.注意这些标识符也是关键字,所以必须用反斜杠(\) 转义.[如果是F DD I(例如,`fddiprotocolarp'),协议标识来自802.2逻辑链路控制(LL C)报头,它通常位于F DD I报头的顶层.当根据协议标识过滤报文时,Tcpdump 假设所有的F DD I报文含有LL C报头,而且LL C报头用的是SN A P格 式.]decnet src host如果DE CN E T的源地址是host,则逻辑为真,该主机地址的形式可能是``10.123'',或者是DE CN E T主机名.[只有配置成运行DE CN E T的Ultrix系统支持DE CN E T主机名.]decnet dst host如果DE CN E T的目的地址是host,则逻辑为真.decnet host host如果DE CN E T的源地址或目的地址是host,则逻辑为真.ip, arp, rarp, decnet是: ether proto p 的简写形式,其中p为上述协议的一种.lat, moprc, mopdl是: ether proto p 的简写形式,其中p为上述协议的一种.注意tcpdump目前不知道如何分析这些协议.tcp, udp, icmp是: ip proto p 的简写形式,其中p为上述协议的一种.expr relop expr如果这个关系式成立,则逻辑为真,其中relop是>,<,>=,<=,=,!=之一,expr是数学表达式,由常整数(标准C语法形式),普通的二进制运算符[+,-,*,/,&,|],一个长度运算符,和指定的报文数据访问算符组成.要访问报文内的数据, 使用的语法: proto [ expr : si z e ] 之一,同时也指出了下标操作的协议层.expr给出字节单位的偏移量 ,该偏移量相对于指定的协议层.Si z e是可选项,指出感兴趣的字节数;它可以是1,2,4,缺省为1 字节.由关键字len给出的长度运算符指明报文的长度.例如,`ether[0]&1!=0'捕捉所有的多目传送报文.表达式`ip[0]&0xf!=5'捕捉所有带可选域的IP报文.表达式`ip[6:2]&0x1fff=0'只捕捉未分片和片偏移为0的数据报.这种检查隐含在tcp和udp下标操作中. & 按位与有一个0就为0例如,tcp[0]一定是TCP报头的第一个字节,而不是其中某个IP片的第一个字节. ^ 按位异或| 安位或有一个1就为1原语可以用下述方法结合使用:园括弧括起来的原语和操作符(园括弧在Shell中有专用,所以必须转义).取反操作 (`!' or `not'). 连结操作 (`&&' or `and'). 或操作 (`||' or `or').取反操作有最高优先级.或操作和连结操作有相同的优先级, 运算时从左到右结合.注意连结操作需要显式的and算符, 而不是并列放置.如果给出标识符,但没给关键字,那么暗指最近使用的关键字. 例如,not host vs and ace 作为not host vs and host ace 的简写形式,不应该和 not ( host vs or ace ) 混淆.表达式参数可以作为单个参数,也可以作为复合参数传给tcpdump,后者更方便一些.一般说来,如果表达式包含Shell元字符(metacharacter),传递单个括起来的参数要容易一 些.复合参数在被解析前用空格联接一起.示例 (EXAM P LE S)tcpdump host sundown 显示所有进出 sundown 的报文tcpdump host helios and \( hot or ace \)显示 helios 和主机 hot, ace 之间的报文传送tcpdump ip host ace and not helios 显示 ace 和除了 helios 以外的所有主机的 ip报文tcpdump net ucb-ether 显示本地的主机和 B erkeley的主机之间的网络数据tcpdump 'gateway snup and (port ftp or ftp-data)'显示所有通过网关 snup 的 ftp 报文 (注意这个表达式被单引号括起, 防止 shell 解释园括弧)tcpdump ip and not net localnet 显示既不是来自本地主机,也不是传往本地主机的网络数据tcpdump 'tcp[13] & 3!=0 and not src and dst net localnet'显示每个TCP会话的起始和结束报文(SYN和FIN报文),而且会话方中有一个远程主机.tcpdump 'gateway snup and ip[2:2] > 576'显示经过网关snup中大于576字节的IP数据报 (第3个字节开始,长度为2字节)tcpdump 'ether[0] & 1=0 and ip[16] >=224'显示IP广播或多目传送的数据报,这些报文不是通过以太网的广播或多目传送形式传送的tcpdump 'icmp[0] != 8 and icmp[0] !=0"显示所有不是回响请求/应答的IC M P报文(也就是说,不是ping报文)下标为0是第一个字节,icmp[0]=3 and icmp[1]=3 为端口不可达报文tcpdump -i eth1 ip host 114.255.247.2 and ! 58.30.34.17 显示114.255.247.2的包,但是不包括到58.30.34.17的ip包 tcpdump -i eth0 -n -p udp 'port 67 or port 68' 显示dhcp包tcpdump -i eth0 -n 'udp[0:2]=67 or udp[0:2]=68' 显示dhcp包tcpdump -i eth0 -nv net 192.168.1.0 mask 255.255.255.0 显示指定网络的数据包tcpdump -i eth0 -n ether src 0:f:e2:49:16:5c 显示原mac地址是0:f:e2:49:16:5ctcpdump -i eth0 -n 'arp' 显示arp数据包tcpdump -i eth0 -n 'ether[12:2]=0x0806' 显示dhcp包tcpdump -i eth0 'icmp[0]=3 and icmp[1]=3' 显示icmp端口不可达报文tcpdump -i eth0 -nv 'tcp[13]=2' 显示tcp的syn报文tcpdump -i eth0 -s0 -w filename -c 1000 显示1000个数据包,存入文件filename中。
