TCPDUMP 网络调试工具

TCPDUMP 指令介绍

tcpdump官网是一个用于截取网络分组，并输出分组内容的工具。事实上已经成为unix/linux系统中用于网络分析和问题排查的首选工具。

tcpdump 支持针对网络层、协议、主机、网络或端口的过滤，还提供and、or、not等逻辑语句来帮助你去掉无用的信息。

命令的基本用法：tcpdump官方文档，由于官方文档为全英文，所以推荐里一份文档：推荐文档

NAME
       tcpdump - dump traffic on a network
==============================================================================
语法
==============================================================================
       tcpdump [ -AbdDefhHIJKlLnNOpqStuUvxX# ] [ -B buffer_size ]
               [ -c count ]
               [ -C file_size ] [ -G rotate_seconds ] [ -F file ]
               [ -i interface ] [ -j tstamp_type ] [ -m module ] [ -M secret ]
               [ --number ] [ -Q|-P in|out|inout ]
               [ -r file ] [ -V file ] [ -s snaplen ] [ -T type ] [ -w file ]
               [ -W filecount ]
               [ -E spi@ipaddr algo:secret,...  ]
               [ -y datalinktype ] [ -z postrotate-command ] [ -Z user ]
               [ --time-stamp-precision=tstamp_precision ]
               [ --immediate-mode ] [ --version ]
               [ expression ]

常用参数参数（OPTIONS）：

OPTIONS	描述
-a	将网络地址和广播地址转变成容易识别的名字
-d	将已截获的数据包的代码以人容易理解的格式输出；
-dd	将已截获的数据包的代码以C程式的格式输出；
-ddd	将已截获的数据包的代码以十进制格式输出；
-e	输出数据链路层的头部信息；
-f	将internet地址以数字形式输出；
-l	将标准输出变为行缓冲方式；
-n	不将网络地址转换成易识别的主机名，只以数字形式列出主机地址(如IP地址)，这样能够避免DNS查询；
-t	不输出时间戳；
-v	输出较周详的信息，例如IP包中的TTL和服务类型信息；
-vv	输出详尽的报文信息；
-c	在捕获指定个数的数据包后退出；
-F	从指定的文档中读取过滤规则，忽略命令行中指定的其他过滤规则；
-i	指定监听的网络接口；
-r	从指定的文档中读取数据包(该文档一般通过-w选项产生)；
-w	将截获的数据包直接写入指定的文档中，不对其进行分析和输出；
-T	将截获的数据包直接解释为指定类型的报文，现在支持的类型有cnfp、rpc、rtp、snmp、vat和wb。