文档介绍：2012年1月MVP申请倒计时——13日截止                           “IT适合你吗?”智力挑战tcpdump抓包分析TCP三次握手过程分类:TCP/IP与套接字编程2010-10-0915:11566人阅读评论(0)收藏举报转:一、tcpdump使用1、首先看下MAN手册TCPDUMP(8)                                                                                                                                                        NAMEtcpdump-workSYNOPSIStcpdump[-AdDeflLnNOpqRStuUvxX][-ccount][-Cfile_Size][-Ffile][-iinterface][-mmodule][-Msecret][-rfile][-ssnaplen][-Ttype][-wfile][-Wfilecount][-******@ipaddralgo:secret,...][-ydatalinktype][-Zuser][expression]选项:-A       以ASCII码显示消息包-c        指定包个数-C       配合-w,当写入文件时,先检查文件大小是否已经超过1M,若超过,生成新文件,文件名为指定文件名加后缀1。-d       将匹配信息包的代码以人们能够理解的汇编格式给出-dd     将匹配信息包的代码以c语言程序段的格式给出-ddd   将匹配信息包的代码以十进制的形式给出。-D       列出可以抓包的所有网络接口-e       显示链路层内容-f        外部的IP以数字方式显示-i        指定网络接口-l        使标准输出变为缓冲行形式-n       IP,端口用数字方式显示-t 在输出的每一行不打印时间戳;-v 输出一个稍微详细的信息,例如在ip包中可以包括ttl和服务类型的信息;-vv 输出详细的报文信息;-c 在收到指定的包的数目后,tcpdump就会停止;-F 从指定的文件中读取表达式,忽略其它的表达式;-i 指定监听的网络接口;-r 从指定的文件中读取包(这些包一般通过-w选项产生);-w 直接将包写入文件中,并不分析和打印出来;-T 将监听到的包直接解释为指定的类型的报文,常见的类型有rpc(远程过程调用)和snmp(简单网络管理协议;)-x       让十六进制显示包内容2、过滤(1)指定接口(-i)如:tcpdump-ieth0(2)指定IP地址(host),可以辅加and,or,!等逻辑符,以及src,dest等表示方向。如:-/(/)!-