tcpdump命令

 tcpdump - dump traffic on a network

tcpdump其实是一款黑客软件，可以截获网络上的数据包的包头进行分析。分析数据包的流向，也可以进行监听。

同时当ping命令无法找出网络故障原因时，需要使用tcpdump分析数据包流向。

语法：

       tcpdump [ -AdDefIJKlLnNOpqRStuUvxX ] [ -B buffer_size ] [ -c count ]

               [ -C file_size ] [ -G rotate_seconds ] [ -F file ]

               [ -i interface ] [ -j tstamp_type ] [ -m module ] [ -M secret ]

               [ -Q|-P in|out|inout ]

               [ -r file ] [ -s snaplen ] [ -T type ] [ -w file ]

               [ -W filecount ]

               [ -E spi@ipaddr algo:secret,...  ]

               [ -y datalinktype ] [ -z postrotate-command ] [ -Z user ]

               [ expression ]

常用选项：

-A 数据报的内容以ASCII显示，常用于抓取www的网页数据

-e 使用OSI第二层的MAC数据包数据显示

-nn 直接以ip与portzhanshi 

-i 指定网络接口

-w 将监听的数据保存到文件

-r 将文件中的监听数据读出来

1. 监听网络接口

   [root@www ~]# tcpdump -i eth0
   

   tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

   listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes

   05:30:17.434560 IP www.ssh > www.****.com.56599: Flags [P.], seq 3503903717:3503903925, ack 2372618714, win 169, length 208

   05:30:17.434712 IP www.****.com.56599 > www.ssh: Flags [.], ack 208, win 254, length 0

   05:30:17.435057 IP www.57189 > www.****.com.domain: 48305+ PTR? ********.in-addr.arpa. (44)

   05:30:17.437984 IP www.****.com.domain > www.57189: 48305 1/0/0 PTR www.****.com. (71)

2. 监听某个端口的数据包

   [root@www ~]# tcpdump -i eth0  port 3306