tcpdump中文手册

"tcpdump 中文手册" tcpdump 是一个功能强大且灵活的网络嗅探工具，可以嗅探和记录网络流量。tcpdump 的主要功能是嗅探和记录网络流量，并将其输出为人类可读的格式。 tcpdump 的基本语法为：tcpdump [-adeflnNOpqStvx][-ccount][-F file][-i interface][-r file][-ssnaplen][-T type][expression] 其中，-a 选项试图将网络和广播地址转换为名称；-c 选项在收到 count 报文后退出；-d 选项将编译好的报文匹配模板翻译成可读形式，传往标准输出，然后退出；-dd 选项将报文匹配模板以 C 程序片断的形式输出；-ddd 选项将报文匹配模板以十进制数形式输出（前面加上总数）；-e 选项每行都显示链路层报头；-f 选项用数字形式显示'外部的'互联网地址，而不是字符形式；-F 选项将 file 的内容用作过滤表达式，忽略命令行上的表达式；-i 选项监听 interface，如果不指定接口，tcpdump 在系统的接口清单中，寻找号码最小，已经配置好的接口（loopback 除外）；-l 选项行缓冲标准输出，可以用于捕捉数据的同时查看数据；-n 选项别把地址转换成名字（就是说，主机地址，端口号等）；-N 选项不显示主机名字中的域名部分；-O 选项禁止运行报文匹配模板的优化器；-p 选项禁止把接口置成 promiscuous 模式；-q 选项快速输出，显示较少的协议信息，输出行会短一点点；-r 选项从 file 中读入数据报（文件是用-w 选项创建的）；-s 选项从每个报文中截取 snaplen 字节的数据，而不是缺省的 68（如果是 SunOS 的 NIT，最小值是 96）；-T 选项把通过"expression"挑选出来的报文解释成指定的 type；-S 选项显示绝对的，而不是相对的 TCP 序列号；-t 选项禁止显示时戳标志；-tt 选项显示未格式化的时戳标志；-v 选项（稍微多一点）繁琐的输出，例如，显示 IP 数据报中的生存周期和 TTL。 tcpdump 的使用权限取决于操作系统和网络接口。对于 SunOS 的 nit 或 bpf 界面，需要有/dev/nit 或/dev/bpf* 的读访问权限。对于 Solaris 的 dlpi，需要有网络仿真设备（network pseudodevice），如/dev/le 的读访问权限。对于 HP-UX 的 dlpi，需要是 root，或者把它安装成 root 的设置 uid 程序。对于 IRIX 的 snoop，需要是 root，或者把它安装成 root 的设置 uid 程序。对于 Linux，需要是 root，或者把它安装成 root 的设置 uid 程序。对于 Ultrix 和 DigitalUNIX，一旦超级用户使用 pfconfig(8) 开放了 promiscuous 操作模式（promiscuous-mode），任何用户都可以运行 tcpdump。对于 BSD，需要有/dev/bpf* 的读访问权限。 tcpdump 的输出结果可以用来分析网络流量，debug 网络问题，嗅探网络攻击等。