tcpdump使用方法

你也可以用選項來找出多個埠而不用一一指定，也可以僅檢視大於或小於某一位元組大小的包。

變得有創意

表示式很好，但tcpdump真正的魅力在於創造性的將表示式聯合在一起來準確的找到你想要的。有三種聯合的方式(學過電腦的人會很熟悉):

與and or &&

或or or ||

非not or !

更多的例子

從10.5.2.3到埠3389的tcp互動

從網路192.168到網路10或172.16的互動

從192.168.0.2到網路172.16的非icmp互動

從mars或pluto到非ssh埠的互動

如你所見，你可以組裝查詢來找出任何你想要的互動，關鍵在於首先要精確計算出你想找的互動，然後再拼接語法來隔離出指定型別的互動。

分組在組裝查詢的時候對選項進行分組要記得用單引號，單引號用於告訴tcpdump忽略某些指定的字元(這裡是小括號)，同樣的方法可以用於對其他表示式進行分組，如host,port, net等。看看以下的命令:

從10.0.2.4到埠3389或22的互動(錯誤的表達)

如果你試圖執行這個本來非常有用的命令，因為括號的原因會報錯，可以對括號進行轉義(前面加"/")或者將整個命令放在單引號中:

從10.0.2.4到埠3389或22的互動(正確的表達)

注意:只有psh,rst,syn和fin標識顯示在tcpdump的標識字段。urg和ack也會顯示，但顯示在tcpdump的其他地方。

記住這些過濾器工作的原因。上面的過濾器之所以能找到各種型別的包是因為tcp[13]觀察的是tcp首部偏移量為13的位置(tcp的標誌位為tcp報文的第13個位元組)，&後面的數字是位元組中的位，不等於0代表該位被開啟。

有了這麼多強大的工具，就有很多方法來處理事情，下面是另一種抓指定tcp標識的包的方法。 /*

偏移量有時會忘記。不過tcpdump為你提供更方便的用法，你不用記位這些數字，用字元就可以代替了.

下面是tcpdump提供的字元偏移量：

icmptype：表示icmp報文中類弄位元組的偏移量

icmpcode:表示icmp報文中編碼位元組的偏移量

tcpflags:表示tcp報文中標誌位位元組的偏移量

此外，還提供了很多值來對應上面的偏移位元組：

icmp中型別位元組的值可以是：

icmp-echoreply, icmp-unreach, icmp-sourcequench, icmp-redi﹔ect, icmp-echo, icmp-routeradvert, icmp-routersolicit,

icmp-timxceed, icmp-paramprob, icmp-tstamp, icmp-tstam﹑reply, icmp-ireq, icmp-ireqreply, icmp-maskreq, icmp-maskreply.

tcp中標誌位位元組的值可以是：

tcp-fin, tcp-syn, tcp-rst, tcp-push, tcp-ack, tcp-urg.

*/指定的互動

最後，你將會記住一些快捷的方法來抓取特定的互動，如ipv6和異常/惡意的包。