Tcpdump

��һ���ǹ������͵Ĺ ��֣���Ҫ��(host��net��port, ���� host 210.27.48.2��ָ�� 210.27.48.2��һ̨���net 202.0.0.0 ָ�� 202.0.0.0��һ�������ַ��port 23 ָ��˿���‫ں‬ 23�����û��ָ�����ͣ�ȱʡ��������host. �‫�����ڶ‬ȷ����� ��Ĺ ��֣���Ҫ��(src , dst ,dst or src, dst and src ,��Щ� ���ָ���˴���ķ�� ���˵��src 210.27.48.2 ,ָ��ip���� ��ַ��210.27.48.2 , dst net 202.0.0.0 ָ ��Ŀ�������ַ��202.0.0.0 �����û��ָ���� ��֣���ȱʡ��src or dst� ��֡� ��������Э��Ĺ ��֣���Ҫ��(fddi,ip,arp,rarp,tcp,udp�����͡�fddiָ������fddi(�ֲ�ʽ������ ӿ�����)�ϵ��‫������ �ض‬Э�飬 ʵ��������"ether"�ı���fddi��ether�������Ƶ�Դ��ַ��Ŀ�ĵ�ַ�����Կ��Խ�fddiЭ �����ether�İ���д���� ��������ļ���‫���˼���ָ��� ��־‬İ��Э�����‫����ݡ‬û��ָ���κ�Э�飬 ��tcpdump�����������Э�����Ϣ�� �������������͵Ĺ ���֮�⣬������Ҫ�Ĺ ������£�gateway, broadcast,less,greater,��������� ���� ȡ�������� 'not ' '! ', ��������'and','&&';������ ��'or' ,'����'����Щ���������ֿ�� 4����ǿ��������4�������ǵ���Ҫ������4�������‫��˵ټ‬ �� ����£�ֱ����tcpdump�����ӵ�һ��������������������� � # tcpdump tcpdump: listening on fxp0 11:58:47.873028 202.102.245.40.netbios-ns > 202.102.245.127.netbios-ns: udp 50 11:58:47.974331 0:10:7b:8:3a:56 > 1:80:c2:0:0:0 802.1d ui/c len=43 0000 0000 0080 0000 1007 cf08 0900 0000 0e80 0000 902b 4695 0980 8701 0014 0002 000f 0000 902b 4695 0008 00 11:58:48.373134 0:0:e8:5b:6d:85 > broadcast sap e0 ui/c len=97 ffff 0060 0004 ffff ffff ffff ffff ffff 0452 ffff ffff 0000 e85b 6d85 4008 0002 0640 4d41 5354 4552 5f57 4542 0000 0000 0000 00 ʹ��-i����ָ��tcpdump�����������棬���‫������ڼ‬ж���������ʱ�dz����ã� ʹ��-c����ָ��Ҫ������� ����� ʹ��-w����ָ����������� �д���ļ��б��� a��Ҫ�210.27.48.1����� ������ ��ĺ �������е��� � #tcpdump host 210.27.48.1 b��Ҫ�210.27.48.3�� 210.27.48.2����� 210.27.48.1���� �� �ţ�ʹ����� ���������������á�����(��ʱ��һ��Ҫ #tcpdump host 210.27.48.1 and \ (210.27.48.2 or 210.27.48.3 \) c�����Ҫ��ȡ���210.27.48.1��� ����210.27.48.2

֮��������� �ŵ�ip��ʹ�����

#tcpdump ip host 210.27.48.1 and ! 210.27.48.2 d�����Ҫ��ȡ���210.27.48.1��� �� � telnet�ʹ��������� #tcpdump tcp port 23 host 210.27.48.1 e � ���� � udp 123 ˿ ‫��ڽ‬м��� 123 Ϊntp�ķ���� ˿ # tcpdump udp port 123 f ϵ ��ֻ����Ϊhostname������ ���� ���м��ӡ����������DZ������Ҳ�����������ϵ��κ�һ̨����������������Զ�ȡ���hostname���͵������ �‫�ݣ‬ #tcpdump -i eth0 src host hostname g ����������� ��������͵����hostname���� � #tcpdump -i eth0 dst host hostname h ���ǻ���� ��� ��ָ������� ‫�صص‬ #tcpdump -i eth0 gateway gatewayname i ���� ����ӱ�ַ��ָ���˿‫�ڵ‬Tcp��UDP�� ���ôִ��������� #tcpdump -i eth0 host hostname and port 80 j �����Ҫ��ȡ���210.27.48.1��� ����210.27.48.2 ֮��������� �ŵ�ip�� ��ʹ����� #tcpdump ip host 210.27.48.1 and ! 210.27.48.2 k ��Ҫ�210.27.48.3�� 210.27.48.2����� 210.27.48.1���� �� �ţ�ʹ������ �����������������á�����(��ʱ��һ��Ҫ #tcpdump host 210.27.48.1 and \ (210.27.48.2 or 210.27.48.3 \) l �����Ҫ��ȡ���210.27.48.1��� ����210.27.48.2 ֮��������� �ŵ�ip��ʹ����� ������#tcpdump ip host 210.27.48.1 and ! 210.27.48.2 m �����Ҫ��ȡ���210.27.48.1��� �� � telnet�ʹ��������� ������#tcpdump tcp port 23 host 210.27.48.1

��������Э��Ĺ ��֣���Ҫ��(fddi,ip ,arp,rarp,tcp,udp������ �������������͵Ĺ ���֮�⣬������Ҫ�Ĺ ������£�gateway, broadcast,less, greater,��������� ���� ȡ�������� 'not ' '! ', ��������'and','&&';������ ��'o r' ,'||'�� �‫�����ڶ‬ȷ����� ��Ĺ ��֣���Ҫ��(src , dst ,dst or src, dst and src , �������ֻ��Ҫ�г��͵�80�˿ ���‫���ڵ‬dst port���������ֻϣ������80�˿ ���‫���ڵ‬src port�� #tcpdump �ci eth0 host hostname and dst port 80 Ŀ�Ķ��� ˿ 80 ���� #tcpdump �ci eth0 host hostname and src port 80 ���� ˿ 80 һ�����ṩhttp�ķ�������

������� ܶ Ļ� Ҫ����֮ǰ��and �� or �� not #tcpdump -i eth0 host ! 211.161.223.70 and ! 211.161.223.71 and dst port 80

�����ethernet ʹ�û���ģʽ ϵ ����‫¼�����־‬ may may may

7 20:03:46 localhost kernel: eth0: promiscuous mode enabled. 7 20:03:46 localhost kernel: device eth0 entered promiscuous mode 7 20:03:57 localhost kernel: device eth0 left promiscuous mode

tcpdump�Խ ���� �û�н��г�� ��룬��‫ ��ڵ‬Ĵ �������ʹ��ʮ����Ƶ���ʽ ֱ�Ӵ�ӡ���ġ���Ȼ�ⲻ��� ‫���������ڷ‬ϣ� ���Ľ��취����ʹ�ô�-w�����tcpdump � ��� ����浽 �ļ��У�Ȼ����ʹ�����������н�������ȻҲӦ�ö����� ���� �� �����

��������Ӳ�̡�