Tcpdump官方版

Linux平台下一款非常知名的强大的网络数据抓包分析工具Tcpdump官方版可以把网络传送中的数据包完整截取分析。Tcpdump官方版支持对主机端口网络端口过滤，协议，主机过滤。提供多种逻辑编辑语言，帮助去掉无用数据。是互联网上经典的的系统管理员必备工具，tcpdump以其灵活的截取策略，强大的功能，成为每个高级的系统管理员排查问题，分析网络等所必备的工具之一

Tcpdump官方版数据过滤介绍

不带任何参数的TcpDump将搜索系统中第一个网络接口，并显示它截获的所有数据，这些数据对我们不一定全都需要，而且数据太多不利于分析。所以，我们应当先想好需要哪些数据。

tcpdump ip src……

只过滤数据-链路层上的IP报头。

tcpdump udp and src host 192.168.0.1

只过滤源主机192.168.0.1的所有udp报头。

Tcpdump官方版输入输出介绍

TcpDump提供了足够的参数来让我们选择如何处理得到的数据，如下所示：

-l 可以将数据重定向。

如tcpdump -l >tcpcap.txt将得到的数据存入tcpcap.txt文件中。

-n 不进行IP地址到主机名的转换。

如果不使用这一项，当系统中存在某一主机的主机名时，TcpDump会把IP地址转换为主机名显示，就像这样：eth0 < ntc9.1165> router..telnet，使用-n后变成了：eth0 < 192.168.0.9.1165 > 192.168.0.1.telnet。

-nn 不进行端口名称的转换。

上面这条信息使用-nn后就变成了：eth0 < ntc9.1165 > router..23。

-N 不打印出默认的域名。

还是这条信息-N 后就是：eth0 < ntc9.1165 > router.telnet。

-O 不进行匹配代码的优化。

-t 不打印UNIX时间戳，也就是不显示时间。

-tt 打印原始的、未格式化过的时间。

-v 详细的输出，也就比普通的多了个TTL和服务类型