TCPDUMP簡介

　　在傳統的網路分析和測試技術中，嗅探器(sniffer)是最常見，也是最重要的技術之一。sniffer工具首先是為網路管理員和網路程式設計師 進行網路分析而設計的。對於網路管理人員來說，使用嗅探器可以隨時掌握網路的實際情況，在網路效能急劇下降的時候，可以通過sniffer工具來分析原 因，找出造成網路阻塞的來源。對於網路程式設計師來說,通過sniffer工具來除錯程式。

　　用過windows平臺上的sniffer工具(例如，netxray和sniffer pro軟體)的朋友可能都知道，在共享式的區域網中，採用sniffer工具簡直可以對網路中的所有流量一覽無餘！Sniffer工具實際上就是一個網路 上的抓包工具，同時還可以對抓到的包進行分析。由於在共享式的網路中，資訊包是會廣播到網路中所有主機的網路介面，只不過在沒有使用sniffer工具之 前，主機的網路裝置會判斷該資訊包是否應該接收，這樣它就會拋棄不應該接收的資訊包，sniffer工具卻使主機的網路裝置接收所有到達的資訊包，這樣就 達到了網路監聽的效果。

　　Linux作為網路伺服器，特別是作為路由器和閘道器時，資料的採集和分析是必不可少的。所以，今天我們就來看看Linux中強大的網路資料採集分析工具——TcpDump。

　　用簡單的話來定義tcpdump，就是：dump thetraffice on a network，根據使用者的定義對網路上的資料包進行截獲的包分析工具。

　　作為網際網路上經典的的系統管理員必備工具，tcpdump以其強大的功能，靈活的擷取策略，成為每個高階的系統管理員分析網路，排查問題等所必備的東東之一。

　　顧名思義，TcpDump可以將網路中傳送的資料包的“頭”完全截獲下來提供分析。它支援針對網路層、協議、主機、網路或埠的過濾，並提供and、or、not等邏輯語句來幫助你去掉無用的資訊。

　　tcpdump提供了原始碼，公開了介面，因此具備很強的可擴充套件性，對於網路維護和入侵者都是非常有用的工具。tcpdump存在於基本的 FreeBSD系統中，由於它需要將網路介面設定為混雜模式，普通使用者不能正常執行，但具備root許可權的使用者可以直接執行它來獲取網路上的資訊。因此係 統中存在網路分析工具主要不是對本機安全的威脅，而是對網路上的其他計算機的安全存在威脅。

　　普通情況下，直接啟動tcpdump將監視第一個網路介面上所有流過的資料包。

　　－－－－－－－－－－－－－－－－－－－－－－－

　　bash-2.02# tcpdump

　　tcpdump: listening on eth0

　　11:58:47.873028 202.102.245.40.netbios-ns >202.102.245.127.netbios-ns: udp 50

　　11:58:47.974331 0:10:7b:8:3a:56 > 1:80:c2:0:0:0 802.1dui/C len=43

　　0000 0000 0080 0000 1007 cf08 0900 0000

　　0e80 0000 902b 4695 0980 8701 0014 0002

　　000f 0000 902b 4695 0008 00

　　11:58:48.373134 0:0:e8:5b:6d:85 > Broadcast sap e0ui/C len=97

　　ffff 0060 0004 ffff ffff ffff ffff ffff

　　0452 ffff ffff 0000 e85b 6d85 4008 0002

　　0640 4d41 5354 4552 5f57 4542 0000 0000

　　0000 00

　　^C

　　－－－－－－－－－－－－－－－－－－－－－－－－

　　首先我們注意一下，從上面的輸出結果上可以看出來，基本上tcpdump總的的輸出格式為：系統時間 來源主機.埠 > 目標主機.埠資料包引數

　　TcpDump的引數化支援

　　tcpdump支援相當多的不同引數，如使用-i引數指定tcpdump監聽的網路介面，這在計算機具有多個網路介面時非常有用，使用-c引數指定要監聽的資料包數量，使用-w引數指定將監聽到的資料包寫入檔案中儲存，等等。

　　然而更復雜的tcpdump引數是用於過濾目的，這是因為網路中流量很大，如果不加分辨將所有的資料包都截留下來，資料量太大，反而不容易發現需要的資料包。使用這些引數定義的過濾規則可以截留特定的資料包，以縮小目標，才能更好的分析網路中存在的問題。tcpdump使用引數指定要監視資料包的型別、地址、埠等，根據具體的網路問題，充分利用這些過濾規則就能達到迅速定位故障的目的。請使用man tcpdump檢視這些過濾規則的具體用法。

　　顯然為了安全起見，不用作網路管理用途的計算機上不應該執行這一類的網路分析軟體，為了遮蔽它們，可以遮蔽核心中的bpfilter偽裝置。一般情況下網路硬體和TCP/IP堆疊不支援接收或傳送與本計算機無關的資料包，為了接收這些資料包，就必須使用網絡卡的混雜模式，並繞過標準的TCP/IP 堆疊才行。在FreeBSD下，這就需要核心支援偽裝置bpfilter。因此，在核心中取消bpfilter支援，就能遮蔽tcpdump之類的網路分 析工具。

　　並且當網絡卡被設定為混雜模式時，系統會在控制檯和日誌檔案中留下記錄，提醒管理員留意這臺系統是否被用作攻擊同網路的其他計算機的跳板。

　　May 15 16:27:20 host1 /kernel: fxp0: promiscuous modeenabled

　　雖然網路分析工具能將網路中傳送的資料記錄下來，但是網路中的資料流量相當大，如何對這些資料進行分析、分類統計、發現並報告錯誤卻是更關鍵的 問題。網路中的資料包屬於不同的協議，而不同協議資料包的格式也不同。因此對捕獲的資料進行解碼，將包中的資訊儘可能的展示出來，對於協議分析工具來講更為重要。昂貴的商業分析工具的優勢就在於它們能支援很多種類的應用層協議，而不僅僅只支援tcp、udp等低層協議。

　　從上面tcpdump的輸出可以看出，tcpdump對截獲的資料並沒有進行徹底解碼，資料包內的大部分內容是使用十六進位制的形式直接列印輸出的。顯然這不利於分析網路故障，通常的解決辦法是先使用帶-w引數的tcpdump截獲資料並儲存到檔案中，然後再使用其他程式進行解碼分析。當然也應該定義過濾規則，以避免捕獲的資料包填滿整個硬碟。

　　TCP功能

　　資料過濾

　　不帶任何引數的TcpDump將搜尋系統中所有的網路介面，並顯示它截獲的所有資料，這些資料對我們不一定全都需要，而且資料太多不利於分析。所以，我們應當先想好需要哪些資料，TcpDump提供以下引數供我們選擇資料：

　　-b 在資料-鏈路層上選擇協議，包括ip、arp、rarp、ipx都是這一層的。

　　例如：tcpdump -b arp 將只顯示網路中的arp即地址轉換協議資訊。

　　-i 選擇過濾的網路介面，如果是作為路由器至少有兩個網路介面，通過這個選項，就可以只過濾指定的介面上通過的資料。例如：

　　tcpdump -i eth0 只顯示通過eth0介面上的所有報頭。

　　src、dst、port、host、net、ether、gateway這幾個選項又分別包含src、dst 、port、host、net、ehost等附加選項。他們用來分辨資料包的來源和去向，src host 192.168.0.1指定源主機IP地址是192.168.0.1，dst net 192.168.0.0/24指定目標是網路192.168.0.0。以此類推，host是與其指定主機相關無論它是源還是目的，net是與其指定網路相 關的，ether後面跟的不是IP地址而是實體地址，而gateway則用於閘道器主機。可能有點複雜，看下面例子就知道了：

　　tcpdump src host 192.168.0.1 and dst net 192.168.0.0/24

　　過濾的是源主機為192.168.0.1與目的網路為192.168.0.0的報頭。

　　tcpdump ether src 00:50:04:BA:9B and dst……

　　過濾源主機實體地址為XXX的報頭（為什麼ether src後面沒有host或者net？實體地址當然不可能有網路嘍）。

　　Tcpdump src host 192.168.0.1 and dst port not telnet

　　過濾源主機192.168.0.1和目的埠不是telnet的報頭。

　　ip icmp arp rarp 和 tcp、udp、icmp這些選項等都要放到第一個引數的位置，用來過濾資料報的型別。

　　例如：

　　tcpdump ip src……

　　只過濾資料-鏈路層上的IP報頭。

　　tcpdump udp and src host 192.168.0.1

　　只過濾源主機192.168.0.1的所有udp報頭。

　　資料顯示/輸入輸出

　　TcpDump提供了足夠的引數來讓我們選擇如何處理得到的資料，如下所示：

　　-l 可以將資料重定向。

　　如tcpdump -l ＞tcpcap.txt將得到的資料存入tcpcap.txt檔案中。

　　-n 不進行IP地址到主機名的轉換。

　　如果不使用這一項，當系統中存在某一主機的主機名時，TcpDump會把IP地址轉換為主機名顯示，就像這樣：eth0 ＜ ntc9.1165＞ router.domain.net.telnet，使用-n後變成了：eth0 ＜ 192.168.0.9.1165＞ 192.168.0.1.telnet。

　　-nn 不進行埠名稱的轉換。

　　上面這條資訊使用-nn後就變成了：eth0 ＜ ntc9.1165 ＞ router.domain.net.23。

　　-N 不打印出預設的域名。

還是這條資訊-N 後就是：eth0 ＜ ntc9.1165 ＞ router.telnet。

　　-O 不進行匹配程式碼的優化。

　　-t 不列印UNIX時間戳，也就是不顯示時間。

　　-tt 列印原始的、未格式化過的時間。

　　-v 詳細的輸出，也就比普通的多了個TTL和服務型別。

　　［expression]的用法：

　　expression是tcpdump最為有用的高階用法，可以利用它來匹配一些特殊的包。下面介紹一下expression的用法，主要是如 何寫出符合要求最為嚴格expression。如果tcpdump中沒有expression,那麼tcpdump會把網絡卡上的所有資料包輸出，否則會將 被expression匹配的包輸出。

　　expression 由一個或多個[primitives]組成，而[primitives]由一個或多個[qualitifer]加一個id(name)或數字組成，它們的結構如用正則表示式則可表示為：

　　expression = ([qualitifer］+(id|number))+

　　依次看來，expression是一個複雜的條件表示式，其中[qualitifer］+(id|number)就是一個比較基本條件，qualitifer就表達一些的名稱（項，變數），id或number則表示一個值（或常量）。

　　qualitifer共有三種，分別是：

　　type 表示id name或number涉及到的型別，這些詞有host, nest, port ,portrange等等。

　　例子：

　　host foo 此為一個簡單的primitive，host為qualitifer, foo為id name

　　net 128.3 net為qualitifer, 128.3為number

　　port 20

　　等等

　　每個privimtive必須有一個type詞，如果表示式中沒有，則預設是host.

　　dir 指定資料傳輸的方向，這些詞有src, dst, srcor dst, src and dst

　　例子：

　　dst net 128.3 ;此為一個相對複雜的primitive,結構為dir type number,表示目標網路為128.3的條件。

　　src or dst port ftp-data 此為比上一個相對簡的結構，src or dst表示源或目標，ftp-data為id，表示ftp協議中資料傳輸埠，故整體表示源或目標埠ftp-data的資料包即匹配。

　　如果在一個primitive中沒有dir詞，此預設為src or dst. 如 host foo則表示源或目標主機為foo的資料包都匹配。

　　proto 此種詞是用來匹配某種特定協議的，這些詞包括：ether,fddi, tr, wlan, ip, ip6, arp, rarp, decnet,tcp和udp。其實這些詞經常用來匹配某種協議，是使用率最高的一組詞了。

　　上面三種qualitifer和id name或number組成一個primitive通常是下面這種方式的：

　　proto dir type id(number) ，即primitive=protodir type (id | number)

　　如：

　　tcp src port 80

　　ip dst host 192.168.1.1

　　如果出現type的話，一定會出現id或num

　　如果出現dir，那麼也會出現type,如果不出現，預設為host

　　而proto可單獨出現，如 tcpdump 'tcp'

　　通過上面介紹的三種qualitifer，我們很快就可以寫出一個primitive，下面我就只用一個primitive作為expression匹配資料包。

　　(1)匹配ether包

　　匹配特定mac地址的資料包。

　　tcpdump 'ether src 00:19:21:1D:75:E6'

　　匹配源mac為00:19:21:1D:75:E6的資料包其中src可改為dst, src or dst來匹改變條件

　　匹配ether廣播包。ether廣播包的特徵是mac全1.故如下即可匹配：

　　tcpdump 'ether dst ff:ff:ff:ff:ff:ff'

　　[email protected]:~$ sudo tcpdump -c 1 'ether dstff:ff:ff:ff:ff:ff'

　　tcpdump: verbose output suppressed, use -v or -vv forfull protocol decode

　　listening on eth0, link-type EN10MB (Ethernet), capturesize 96 bytes

　　10:47:57.784099 arp who-has 192.168.240.77 tell192.168.240.189

　　在此，只匹配1個包就退出了。第一個是arp請求包，arp請求包的是採用廣播的方式傳送的，被匹配那是當之無愧的。

　　匹配ether組播包，ether的組播包的特徵是mac的最高位為1，其它位用來表示組播組編號，如果你想匹配其的多播組，知道它的組MAC地址即可。如

　　tcpdump 'ether dst <Mac_Adrress>' Mac_Address表示地址，填上適當的即可。如果想匹配所有的ether多播資料包，那麼暫時請放下，下面會繼續為你講解更高階的應用。

　　(2)匹配arp包

　　arp包用於IP到Mac址轉換的一種協議，包括arp請求和arp答應兩種報文，arp請求報文是ether廣播方式傳送出去的，也即 arp請求報文的mac地址是全1，因此用etherdst FF;FF;FF;FF;FF;FF可以匹配arp請求報文，但不能匹配答應報文。因此要匹配arp的通訊過程，則只有使用arp來指定協議。

　　tcpdump 'arp' 即可匹配網路上arp報文。

　　[email protected]:~$ arping -c 4 192.168.240.1>/dev/null&sudo tcpdump -p 'arp'

　　[1] 9293

　　WARNING: interface is ignored: Operation not permitted

　　tcpdump: verbose output suppressed, use -v or -vv forfull protocol decode

　　listening on eth0, link-type EN10MB (Ethernet), capturesize 96 bytes

　11:09:25.042479 arp who-has 192.168.240.1(00:03:d2:20:04:28 (oui Unknown)) tell ylin.local

　　11:09:25.042702 arp reply 192.168.240.1 is-at00:03:d2:20:04:28 (oui Unknown)

　　11:09:26.050452 arp who-has 192.168.240.1(00:03:d2:20:04:28 (oui Unknown)) tell ylin.local

　　11:09:26.050765 arp reply 192.168.240.1 is-at00:03:d2:20:04:28 (oui Unknown)

　　11:09:27.058459 arp who-has 192.168.240.1(00:03:d2:20:04:28 (oui Unknown)) tell ylin.local

　　11:09:27.058701 arp reply 192.168.240.1 is-at00:03:d2:20:04:28 (oui Unknown)

　　11:09:33.646514 arp who-has ylin.local tell 192.168.240.1

　　11:09:33.646532 arp reply ylin.local is-at00:19:21:1d:75:e6 (oui Unknown)

　　本例中使用arping -c 4 192.168.240.1產生arp請求和接收答應報文，而tcpdump -p 'arp'匹配出來了。此處-p選項是使網路工作於正常模式（非混雜模式），這樣是方便檢視匹配結果。

　　(3)匹配IP包

　　眾所周知，IP協議是TCP/IP協議中最重要的協議之一，正是因為它才能把Internet互聯起來，它可謂功不可沒，下面分析匹配IP包的表示式。

　　對IP進行匹配

　　tcpdump 'ip src 192.168.240.69'

　　[email protected]:~$ sudo tcpdump -c 3 'ip src 192.168.240.69'

　　tcpdump: verbose output suppressed, use -v or -vv forfull protocol decode

　　listening on eth0, link-type EN10MB (Ethernet), capturesize 96 bytes

　　11:20:00.973605 IP ylin.local.51486 >walnut.crossbeamsys.com.ssh: S 2706301341:2706301341(0) win 5840 <mss1460,sackOK,timestamp 1687608 0,nop,wscale 5>

　　11:20:00.974328 IP ylin.local.32849 >192.168.200.150.domain: 5858+ PTR? 20.200.168.192.in-addr.arpa. (45)

　　11:20:01.243490 IP ylin.local.51486 >walnut.crossbeamsys.com.ssh: . ack 2762262674 win 183 <nop,nop,timestamp1687676 4155416897>

　　IP廣播組播資料包匹配：只需指明廣播或組播地址即可

　　tcpdump 'ip dst 240.168.240.255'

　　[email protected]:~$ sudo tcpdump 'ip dst 192.168.240.255'

　　tcpdump: verbose output suppressed, use -v or -vv forfull protocol decode

　　listening on eth0, link-type EN10MB (Ethernet), capturesize 96 bytes

　　11:25:29.690658 IP dd.local > 192.168.240.255: ICMPecho request, id 10022, seq 1, length 64

　　11:25:30.694989 IP dd.local > 192.168.240.255: ICMPecho request, id 10022, seq 2, length 64

　　11:25:31.697954 IP dd.local > 192.168.240.255: ICMPecho request, id 10022, seq 3, length 64

　　11:25:32.697970 IP dd.local > 192.168.240.255: ICMPecho request, id 10022, seq 4, length 64

　　11:25:33.697970 IP dd.local > 192.168.240.255: ICMPecho request, id 10022, seq 5, length 64

　　11:25:34.697982 IP dd.local > 192.168.240.255: ICMPecho request, id 10022, seq 6, length 64

　　此處匹配的是ICMP的廣播包，要產生此包，只需要同一個區域網的另一臺主機執行ping -b 192.168.240.255即可，當然還可產生組播包，由於沒有適合的軟體進行模擬產生，在此不舉例子。

　　(4)匹配TCP資料包

　　TCP同樣是TCP/IP協議棧裡面最為重要的協議之一，它提供了端到端的可靠資料流，同時很多應用層協議都是把TCP作為底層的通訊協議，因為TCP的匹配是非常重要的。

　　如果想匹配HTTP的通訊資料，那隻需指定匹配埠為80的條件即可

　　tcpdump 'tcp dst port 80'

　　[email protected]:~$ wget http://www.baidu.com 2>1 1>/dev/null & sudo tcpdump -c 5 'tcp port 80'

　　[1] 10762

　　tcpdump: verbose output suppressed, use -v or -vv forfull protocol decode

　　listening on eth0, link-type EN10MB (Ethernet), capturesize 96 bytes

　　12:02:47.549056 IP xd-22-43-a8.bta.net.cn.www >ylin.local.47945: S 1202130469:1202130469(0) ack 1132882351 win 2896 <mss1460,sackOK,timestamp 3497190920 2329221,nop,wscale 2>

　　12:02:47.549085 IP ylin.local.47945 >xd-22-43-a8.bta.net.cn.www: . ack 1 win 183 <nop,nop,timestamp 23292583497190920>

　　12:02:47.549226 IP ylin.local.47945 >xd-22-43-a8.bta.net.cn.www: P 1:102(101) ack 1 win 183 <nop,nop,timestamp2329258 3497190920>

　　12:02:47.688978 IP xd-22-43-a8.bta.net.cn.www >ylin.local.47945: . ack 102 win 698 <nop,nop,timestamp 34971909562329258>

　　12:02:47.693897 IP xd-22-43-a8.bta.net.cn.www >ylin.local.47945: . 1:1409(1408) ack 102 win 724 <nop,nop,timestamp3497190957 2329258>

　　(5)匹配udp資料包

　　udp是一種無連線的非可靠的使用者資料報，因此udp的主要特徵同樣是埠，用如下方法可以匹配某一埠

　　tcpdump 'upd port 53' 檢視DNS的資料包

　　[email protected]:~$ ping -c 1 www.baidu.com > /dev/null&sudo tcpdump -p udp port 53

　　[1] 11424

　　tcpdump: verbose output suppressed, use -v or -vv forfull protocol decode

　　listening on eth0, link-type EN10MB (Ethernet), capturesize 96 bytes

　　12:28:09.221950 IP ylin.local.32853 >192.168.200.150.domain: 63228+ PTR? 43.22.108.202.in-addr.arpa. (44)

　　12:28:09.222607 IP ylin.local.32854 >192.168.200.150.domain: 5114+ PTR? 150.200.168.192.in-addr.arpa. (46)

　　12:28:09.487017 IP 192.168.200.150.domain >ylin.local.32853: 63228 1/0/0 (80)

　　12:28:09.487232 IP 192.168.200.150.domain >ylin.local.32854: 5114 NXDomain* 0/1/0 (140)

　　12:28:14.488054 IP ylin.local.32854 >192.168.200.150.domain: 60693+ PTR? 69.240.168.192.in-addr.arpa. (45)

　　12:28:14.755072 IP 192.168.200.150.domain >ylin.local.32854: 60693 NXDomain 0/1/0 (122)

　　使用ping www.baidu.com目標是產生DNS請求和答應，53是DNS的埠號。

　　此外還有很多qualitifer是還沒有提及的，下面是其它合法的primitive,在tcpdump中是可以直接使用的。

　　gateway host

　　匹配使用host作為閘道器的資料包，即資料報中mac地址（源或目的）為host，但IP報的源和目的地址不是host的資料包。

　　dst net net

　　src net net

　　net net

　　net net mask netmask

　　net net/len

　　匹配IPv4/v6地址為net網路的資料報。

　　其中net可以為192.168.0.0或192.168這兩種形式。如net 192.168 或net 192.168.0.0

　　net net mask netmask僅對IPv4資料包有效，如net 192.168.0.0 mask 255.255.0.0

　　net net/len同樣只對IPv4資料包有效，如net 192.168.0.0/16

　　dst portrange port1-port2

　　src portrange port1-port2

　　portrange port1-port2

　　匹配埠在port1-port2範圍內的ip/tcp，ip/upd，ip6/tcp和ip6/udp資料包。dst, src分別指明源或目的。沒有則表示src or dst

　　less length 匹配長度少於等於length的報文。

　　greater length 匹配長度大於等於length的報文。

　　ip protochain protocol 匹配ip報文中protocol欄位值為protocol的報文

　　ip6 protochain protocol 匹配ipv6報文中protocol欄位值為protocol的報文

　　如tcpdump 'ip protochain 6 匹配ipv4網路中的TCP報文，與tcpdump 'ip && tcp'用法一樣，這裡的&&連線兩個primitive。6是TCP協議在IP報文中的編號。

　　ether broadcast

　　匹配乙太網廣播報文

　　ether multicast

　　匹配乙太網多播報文

　　ip broadcast

　　匹配IPv4的廣播報文。也即IP地址中主機號為全0或全1的IPv4報文。

　　ip multicast

　　匹配IPv4多播報文，也就是IP地址為多播地址的報文。

　　ip6 multicast

　　匹配IPv6多播報文，即IP地址為多播地址的報文。

　　vlan vlan_id

　　匹配為vlan報文 ，且vlan號為vlan_id的報文

　　到些為此，我們一直在介紹primitive是如何使用的，也即expression只有一個primitive。通過學會寫好每個 primtive，我們就很容易把多個primitive組成一個expression，方法很簡單，通過邏輯運算子連線起來就可以了，邏輯運算子有以下三個：

　　“&&” 或”and”

　　“||” 或“or”

　　“!” 或“not”

　　並且可通過()進行復雜的連線運算。

　　如tcpdump ‘ip && tcp’

　　tcpdump ‘ host 192.168.240.3 &&( tcp port 80 ||tcp port 443)’

　　通過上面的各種primitive，我們可以寫出很豐富的條件，如ip,tcp, udp,vlan等等。如IP，可以按址址進行匹，tcp/udp可以按埠匹配。但是，如果我想匹配更細的條件呢？如tcp中只含syn標誌，fin標誌的報文呢？上面的primitive恐怕無能為力了。不用怕，tcpdump為你提供最後一個功能最強大的primitive，記住是 primitive，而不是expression。你可以用多個這個的primitive組成更復雜的 expression.

　　最後一個primitive形式為 expr relop expr

　　若把這個形式記為A，那麼你可這樣寫tcpdump 'A1&& A2 && ip src 192.168.200.1'，等等。

　　下面我們就來分析A這個形式，看看這是如何強大，如果你覺得很亂的話，建議你先用用上面的知識來實際操作幾次，要不然就會很亂的，因為expression太複雜了。

　　形式：expr relop expr

　　relop表示關係操作符，可以為>, <,>=,<=, =, !=之一，

　　expr是一個算術表示式，由整陣列成和二元運算子（＋，－，＊，/，＆，|, <<, >>)，長度操作，報文資料訪問子。同時所有的整數都是無符號的，即0x80000000 和 0xffffffff > 0。為了訪問報文中的資料，可使用如下方式：

　　proto [ expr : size ]

　　proto表示該問的報文，expr的結果表示該報文的偏移，size為可選的，表示從expr偏移量起的szie個位元組，整個表示式為proto報文 中,expr起的szie位元組的內容（無符號整數）

　　下面是expr relop expr這種形式primitive的例子：

　　'ether[0] & 1 !=0' ether報文中第0個bit為1，即乙太網廣播或組播的primtive。

　　通過這種方式，我們可以對報文的任何一個位元組進行匹配了，因此它的功能是十分強大的。

　　‘ip[0] = 4’ ip報文中的第一個位元組為version，即匹配IPv4的報文，

　　如果我們想匹配一個syn報文，可以使用：'tcp[13] = 2'，因為tcp的標誌位為TCP報文的第13個位元組，而syn在這個位元組的低1位，故匹配只有syn標誌的報文,上述條件是可滿要求的，並且比較嚴格。

　　如果想匹配ping命令的請求報文，可以使用'icmp[0]=8'，因為icmp報文的第0字元表示型別，當型別值為8時表示為回顯示請求。

　　對於TCP和ICMP中常用的位元組，如TCP中的標誌位，ICMP中的型別，這個些偏移量有時會忘記。不過tcpdump為你提供更方便的用法，你不用記位這些數字，用字元就可以代替了.

　　對於ICMP報文，型別位元組可以icmptype來表示它的偏稱量，上面的primitive可改為'icmp[icmptype] =8'，如果8也記不住怎麼辦？tcpdump還為該位元組的值也提供了字元表示，如'icmp[icmptype] = icmp-echo'。

　　下面是tcpdump提供的字元偏移量：

　　icmptype：表示icmp報文中類弄位元組的偏移量

　　icmpcode:表示icmp報文中編碼位元組的偏移量

　　tcpflags:表示TCP報文中標誌位位元組的偏移量

　　此外，還提供了很多值來對應上面的偏移位元組：

　　ICMP中型別位元組的值可以是：

　　icmp-echoreply, icmp-unreach, icmp-sourcequench,icmp-redi‐rect, icmp-echo, icmp-routeradvert, icmp-routersolicit,

　　icmp-timxceed, icmp-paramprob, icmp-tstamp,icmp-tstam‐preply, icmp-ireq, icmp-ireqreply, icmp-maskreq, icmp-maskreply.

　　TCP中標誌位位元組的值可以是：

　　tcp-fin, tcp-syn, tcp-rst, tcp-push, tcp-ack, tcp-urg.

　　通過上面的字元表示，我們可以寫出下面的primitive

　　'tcp[tcpflags] = tcp-syn' 匹配只有syn標誌設定為1的 tcp報文

　　'tcp[tcpflags] & (tcp-syn |tcp-ack |tcp-fin) !=0' 匹配含有syn，或ack或fin標誌位的TCP報文

　　對於IP報文，沒有提供字元支援，如果想匹配更細的條件，直接使用數字指字偏移量就可以了，不過要對IP報文有更深入的瞭解才可以。

　　學會寫primitive後，expression就是小菜一碟了，由一個或多個primitive組成，並且邏輯連線符組成即可：

　　tcpdump ‘host 192.168.240.91 && icmp[icmptype] =icmp-echo’

　　tcpdump ‘host 192.168.1.100 && vrrp’

　　tcpdump 'ether src 00:00:00:00:00:02 && ether[0]& 1 !=0'

　　讓你隨心所欲地使用tcpdump，將不用再從複雜的輸出中去挑報文了！

　　如此，我們可以寫出更復雜的表示式來匹配報文，如IP或TCP中的報文id，IP是中的分段標誌，ICMP中型別和程式碼等。