打印所有到达或离开日落的数据包:
tcpdump主机日落
打印helios和hot或ace之间的流量:
tcpdump主机helios和\(hot或ace \)
打印ace和除helios之外的任何主机之间的所有IP数据包:
tcpdump ip主机王牌而不是helios
在伯克利打印本地主机和主机之间的所有流量:
tcpdump net ucb-ether
要通过Internet网关snup打印所有ftp流量:(注意表达式被引用以防止shell从(错误)解释括号):
tcpdump’网关snup和(端口ftp或ftp-data)’
要打印既不是来自本地主机也不是本地主机的流量(如果您通过其他网络访问,则这些内容不应该进入本地网络)。
tcpdump ip而不是net netnet
打印涉及非本地主机的每个TCP会话的开始和结束数据包(SYN和FIN数据包)。
tcpdump’tcp [tcpflags]&(tcp-syn | tcp-fin)!= 0而不是src和dst net localnet ’
打印所有来自端口80的IPv4 HTTP数据包,即仅打印包含数据的数据包,而不打印例如SYN和FIN数据包和仅限ACK数据包。(IPv6留给读者练习。)
tcpdump’tcp port 80 and(((ip [2:2] - ((ip [0]&0xf)<< 2)) - ((tcp [12]&0xf0)>> 2))!= 0)’
打印通过网关snup发送的长度超过576字节的IP数据包:
tcpdump’网关snup和ip [2:2]> 576’
要打印未 通过以太网广播或多播发送的IP广播或多播数据包 :
tcpdump’ether [0]&1 = 0和ip [16]> = 224’
要打印所有不是回应请求/回复的ICMP数据包(即不是ping数据包):
tcpdump’icmp [icmptype]!= icmp-echo和icmp [icmptype]!= icmp-echoreply’