tcpdump ip src……

只過濾數(shù)據(jù)-鏈路層上的IP報(bào)頭。

tcpdump udp and src host 192.168.0.1

只過濾源主機(jī)192.168.0.1的所有udp報(bào)頭。

數(shù)據(jù)顯示/輸入輸出

TcpDump提供了足夠的參數(shù)來讓我們選擇如何處理得到的數(shù)據(jù)，如下所示：

-l 可以將數(shù)據(jù)重定向。

如tcpdump -l ＞tcpcap.txt將得到的數(shù)據(jù)存入tcpcap.txt文件中。

-n 不進(jìn)行IP地址到主機(jī)名的轉(zhuǎn)換。

　　如果不使用這一項(xiàng)，當(dāng)系統(tǒng)中存在某一主機(jī)的主機(jī)名時(shí)，TcpDump會(huì)把IP地址轉(zhuǎn)換為主機(jī)名顯示，就像這樣：eth0 ＜ ntc9.1165＞ router.domain.net.telnet，使用-n后變成了：eth0 ＜ 192.168.0.9.1165 ＞ 192.168.0.1.telnet。

-nn 不進(jìn)行端口名稱的轉(zhuǎn)換。

上面這條信息使用-nn后就變成了：eth0 ＜ ntc9.1165 ＞ router.domain.net.23。

-N 不打印出默認(rèn)的域名。

還是這條信息-N 后就是：eth0 ＜ ntc9.1165 ＞ router.telnet。

-O 不進(jìn)行匹配代碼的優(yōu)化。
-t 不打印UNIX時(shí)間戳，也就是不顯示時(shí)間。
-tt 打印原始的、未格式化過的時(shí)間。
-v 詳細(xì)的輸出，也就比普通的多了個(gè)TTL和服務(wù)類型。

　
TCPDUMP的安裝

　在linux下tcpdump的安裝十分簡單，一般由兩種安裝方式。一種是以rpm包的形式來進(jìn)行安裝。另外一種是以源程序的形式安裝。
　　1． rpm包的形式安裝
　　　　#rpm -ivh tcpdump-3_4a5.rpm
　　這樣tcpdump就順利地安裝到你的linux系統(tǒng)中。怎么樣，很簡單吧。
　　2． 源程序的安裝
　　　　　#tar xvfz tcpdump-3_4a5.tar.Z
　　　　rpm的包可以使用如下命令安裝:
　　　　　#rpm -ivh tcpdump-3_4a5.src.rpm
　　　　這樣就把tcpdump的源代碼解壓到/usr/src/redhat/SOURCES目錄下.

第二步 做好編譯源程序前的準(zhǔn)備活動(dòng)

　　在編譯源程序之前，最好已經(jīng)確定庫文件libpcap已經(jīng)安裝完畢，這個(gè)庫文件是tcpdump軟件所需的庫文件 。同樣，你同時(shí)還要有一個(gè)標(biāo)準(zhǔn)的c語言編譯器。在linux下標(biāo)準(zhǔn)的c 語言編譯器一般是gcc。 在tcpdump的源程序目錄中。有一個(gè)文件是Makefile.in，configure命令就是從Makefile.in文件中自動(dòng)產(chǎn)生Makefile文件。在Makefile.in文件中，可以根據(jù)系統(tǒng)的配置來修改BINDEST 和 MANDEST 這兩個(gè)宏定義，缺省值是
　　　 　　BINDEST = @sbindir@
　　　 　　MANDEST = @mandir@
　
　　第一個(gè)宏值表明安裝tcpdump的二進(jìn)制文件的路徑名，第二個(gè)表明tcpdump的man 幫助頁的路徑名,你可以修改它們來滿足系統(tǒng)的需求。

　 第三步 編譯源程序
　
　　使用源程序目錄中的configure腳本，它從系統(tǒng)中讀出各種所需的屬性。并且根據(jù)Makefile.in文件自動(dòng)生成Makefile文件，以便編譯使用.make 命令則根據(jù)Makefile文件中的規(guī)則編譯tcpdump的源程序。使用make install命令安裝編譯好的tcpdump的二進(jìn)制文件。
　
　　總結(jié)一下就是:
　
　　　 　　# tar xvfz tcpdump-3_4a5.tar.Z
　　　 　　# vi Makefile.in
　　　 　　# . /configure
　　　 　　# make
　　　 　　# make install

　　關(guān)于tcpdump更詳細(xì)的信息，請查看Man tcpdump。