很久之前就知道tcpdump是個Linux抓包工具，由於它是命令行的，打印出來的東西也是純文本的，當時我覺得太不人性化了，打印一堆東西完全分析不了什麽，何況我基本都沒必要去抓包啊，又不是搞網絡的。雖然言之有理，但是學多點東西也不是不好。知識不是用到了才去學，而是學了可以防身～

tcpdump基本功能

使用$tcpdump --help打印出這麽堆東西，誰看了都不想學了，寧可自廢雙眼。

tcpdump [ -AbdDefhHIJKlLnNOpqStuUvxX# ] [ -B buffer_size ] 

         [ -c count ] [ -C file_size ] 
         [ -E spi@ipaddr algo:secret,... ] 
         [ -F file ] [ -G rotate_seconds ] [ -i interface ] 
         [ --immediate-mode ] [ -j tstamp_type ] [ -m module ] 
         [ -M secret ] [ --number ] [ --print ] [ -Q in|out|inout ] 
         [ -r file ] [ -s snaplen ] [ -T type ] [ --version ] 
         [ -V file ] [ -w file ] [ -W filecount ] [ -y datalinktype ] 
         [ -z postrotate-command ] [ -Z user ] 
         [ --time-stamp-precision=tstamp_precision ] 
         [ expression ] 
 
 

那就去粗取精，學幾個比較常用的，其他的擇需就行了，也許這輩子都永不到呢。看看下面這些參數：

• -i：抓取經過指定網卡的包，如：
  $tcpdump -i etho

• 參數-

tcpdump抓包入門