Tcpdump命令参数与语法

参数选项（区分大小写）：

• -A：以ASCII码格式打印出所有数据包，并将链路层的头部最小化；
• -b：在数据链路层上选择协议，包括IP、ARP、RARP、IPX；
• -c：指定抓取数据包的数量；
• -d：将匹配到的数据包以人们能够理解的汇编格式输出；
• -dd：将匹配到的数据包以C语音程序段的格式输出；
• -ddd：将匹配到的数据包以十进制的格式输出；
• -D：打印出系统中所有可以用tcpdump截取数据包的网络接口；
• -e：在输出行打印出数据链路层的头部信息；
• -f：将外部的因特网地址以数字的形式打印出来；
• -F：从指定的文件中读取表达式，忽略命令行中给出的表达式；
• -i：指定监听网络接口；
• -I：使用标准输出变为缓冲行形式，可以把数据导出到文件；
• -L：列出网络接口的已知数据链路；
• -n：不把网络地址转换成名称；
• -nn：不进行端口名称的转换；
• -N：不输出主机名中的域名部分；
• -t：不打印每行中的时间戳；
• -p：不将网络接口设置为混杂模式；
• -q：快速输出，输出较少的协议信息；
• -r：从指定的文件中读取数据包，一般这个文件由-w参数产生；
• -s：从每个数据包中读取最开始的snaplen个字节，而不是默认的68字节；
• -S：将TCP的序列号以绝对值的形式输出，不是相对值；
• -t：不在每一行输出时间戳；
• -tt：在每一行中输出非格式化的时间戳；
• -ttt：输出本行和前面一行之间的时间戳；
• -tttt：在每一行中输出由data处理的默认格式的时间戳；
• -T：将监听到的数据包直接解释为指定类型的报文，常见的类型有RPC远程过程调用和SNMP简单网络管理协议；
• -v：输出稍微详细的信息，例如IP报文中的TTL和服务类型信息；
• -vv：输出相信的信息；
• -w：将输出写入文件；

语法表达式

Tcpdump表达式是一个正则表达式，只要是符合表达式条件的数据包都会被该命令匹配到并打印出来或者是保存到对应的文件路径中，表达式中有四类关键字

类型关键字：
host 192.168.1.1：代表一个匹配主机IP地址；
net 192.168.1.0：代表一个匹配网段；
port 80：代表匹配一个端口；
如果没有指定类型，则默认使用host；

方向关键字：
src 192.168.1.1：指定匹配对应源地址；
dst net 192.168.1.0：指定匹配对应目的网段；
dst or src：指定匹配对应源地址或目的地址；
dst and src：指定匹配对应源地址和目标地址；
如果没有指定方向，则默认使用src or dst；

协议关键字：
fddi：指明是在FDDI上的特定的网络协议，是以太网的别名；
ip：指定IP协议；
arp：指定ARP协议；
rarp：指定RARP协议；
udp：指定UDP协议；
如果没有指定，则默认监听所有协议；

其他关键字：
gateway：指定网关
broadcast：指定组播；
not = !：非
and = &&：与
or = || ：或