-a 将网络地址和广播地址转变成容易识别的名字 
-d 将已截获的数据包的代码以人容易理解的格式输出； 
-dd 将已截获的数据包的代码以C程式的格式输出； 
-ddd 将已截获的数据包的代码以十进制格式输出； 
-e 输出数据链路层的头部信息； 
-f 将internet地址以数字形式输出； 
-l 将标准输出变为行缓冲方式； 
-n 不将网络地址转换成易识别的主机名，只以数字形式列出主机地址(如IP地址)，这样能够避免DNS查询； 
-t 不输出时间戳； 
-v 输出较周详的信息，例如IP包中的TTL和服务类型信息； 
-vv 输出详尽的报文信息； 
-c 在捕获指定个数的数据包后退出； 
-F 从指定的文档中读取过滤规则，忽略命令行中指定的其他过滤规则； 
-i 指定监听的网络接口； 
-r 从指定的文档中读取数据包(该文档一般通过-w选项产生)； 
-w 将截获的数据包直接写入指定的文档中，不对其进行分析和输出； 
-T 将截获的数据包直接解释为指定类型的报文，现在支持的类型有cnfp、rpc、rtp、snmp、vat和wb。

表1给出了一些常用的Tcpdump命令行选项，使用这些选项能够过滤出真正感兴趣的数据包。

使用Tcpdump的命令行选项能够很方便地过滤出需要的数据包。

例如，要过滤掉任何除ARP请求和应答的通信数据，能够输入“tcpdump arp”命令。该命令只对ARP的请求和应答信息进行截获，在Tcpdump的输出信息中，请求是“arp who-has”这样的条目，而应答则是“arp reply”这样的条目，如图1所示。

图1 ARP过滤

假如要做更多的处理，比如从指定的网络接口截获5个ARP数据包，并且不将网络地址转换成主机名，则能够用命令“tcpdump arp -i eth0 -c 5 -n”。

Tcpdump的过滤表达式 

Tcpdump的过滤表达式是个正则表达式，Tcpdump利用其作为过滤数据包的条件。假如一个数据包满足表达式的条件，则这个数据据包将会被捕获；假如不指定表达式，则在网络上任何两台主机间的任何数据包都将被截获。过滤表达式的作用就是使Tcpdump只输出网络管理员所需要的数据，如一个指定的网络接口和特定主机间的IP数据包。

Tcpdump的过滤表达式中一般有如下几种类型的关键字：

◆ 类型关键字

这类关键字用于指定主机、网络或端口，包括host、net和port三个关键字

例如，能够用“host 9.185.10.57”来标明监听的主机；用“net 9.185.0.0”来标明监听的网络；用“port 23”来标明监听的端口。假如没有在表达式中指明类型，则缺省的类型为host。

◆ 方向关键字

这类关键字用于指定截获的方向，包括dst、src、dst or src、dst and src四个关键字。

例如，能够用src 9.185.10.57来指明截获的数据包中的源主机地址；用“dst net 9.185.0.0”来指明截获的数据包中的目标网络地址。假如没有在表达式中指明方向，则缺省的方向为“dst or src”，即两个方向的数据包都将被捕获。对于数据链路层协议(如SLIP和PPP)，使用inbound和outbound来定义方向。

◆ 协议关键字

这类关键字用于指定要截获的数据包所属的协议，包括ether、fddi、tr、ip、ip6、arp、rarp、decnet、tcp和udp等关键字。 关键字fddi指明在FDDI(分布式光纤数据接口网络)上的特定网络协议。实际上他是ether的别名。fddi和ether具备类似的源地址和目标地址，所以能够将fddi协议包当作ether的包进行分析和处理。其他几个关键字只是指定了所要截获的协议数据包。假如没有在表达式中指明协议，则 Tcpdump会截获任何协议的数据包。

除了上述三种类型的关键字外，Tcpdump的过滤表达式中还能够指定的一些重要关键字

包括 gateway、broadcast、multicast、less、greater。这些关键字对于监听网络中的广播和多播很有帮助。关于这些关键字的更多信息和用法请参考Tcpdump的man手册。

在Tcpdump的过滤表达式中，各类关键字之间还能够通过布尔运算符来构成组合表达式，以满足实际运用时的需要。

布尔运算符包括取非运算符(not 或!)、和运算符(and或&&)、或运算符(or或||)，使用布尔运算符能够将表达式组合起来构成强大的组合条件，从而能够对 Tcpdump的过滤器做进一步细化。

下面给出几个使用Tcpdump过滤数据包的例子，嗅探器提供的过滤表达式对于管理员监测网络运行状况很重要：

1. 假如想要截获主机“9.185.10.57”任何收到和发出的数据包，能够使用如下命令：

# tcpdump host 9.185.10.57

2. 假如想要截获在主机“9.185.10.57”和主机“9.185.10.58”或“9.185.10.59”之间传递的数据包，能够使用如下命令：

# tcpdump host 9.185.10.57 and \(9.185.10.58 or 9.185.10.59\)

需要注意的是，在使用布尔运算符构成组合表达式时，有时需要使用括号来表达复杂的逻辑关系。假如要在命令行中使用括号，一定要用转义字符(“\”)对括号进行转义，否则命令行解释器将给出语法错误的提示。

3. 假如想要截获主机“9.185.10.57”和除主机“9.186.10.58”外任何其他主机之间通信的IP数据包，能够使用如下命令：

# tcpdump ip host 9.185.10.57 and ! 9.185.10.58

4. 假如想要截获主机“9.185.10.57”接收或发出的FTP(端口号为21)数据包，能够使用如下命令：

# tcpdump tcp port 21 and host 9.185.10.57   (注意and的书写，不加and总是提示语法错误)

5. 假如怀疑系统正受到拒绝服务(DoS)攻击，网络管理员能够通过截获发往本机的任何ICMP包，来确定现在是否有大量的ping指令流向服务器，此时就能够使用下面的命令：

# tcpdump icmp -n -i eth0

Tcpdump的输出结果 

在对网络中的数据包进行过滤后，Tcpdump的输出结果中包含网络管理员关心的网络状态信息。由于Tcpdump只是个命令行方式的嗅探器，因而其输出结果不是很直观，下面以几种典型的输出信息为例，介绍如何对Tcpdump的输出结果进行分析。

1. 数据链路层头信息

使用“tcpdump -e host tiger”命令截获主机“tiger”任何发出和收到的数据包，并在输出结果中包含数据链路层的头部信息。

“tiger”是一台装有Linux的主机，其MAC地址是00:D0:59:BF:DA:06；“mag”是一台装有SCO Unix的工作站，其MAC地址是08:90:B0:2F:AF:46，上述命令的输出结果如下：

20:15:20.735429 eth0 
< 08:90:b0:2f:af:46 00:d0:59:bf:da:06 ip 60: mag.36579 > 
tiger.ftp 0:0(0) ack 25565 win 8970 (DF)

在 输出的信息中，“20:15:20”为截获数据包的时间，“735429”是毫秒数，“eth0 <”表示从网络接口eth0接收该数据包(若为“eth0 >”，则表示从网络接口eth0发送数据包)。“08:90:b0:2f:af:46”是主机mag的MAC地址，指明发送该数据包的源主机为 “mag”，“00:d0:59:bf:da:06”是主机tiger的MAC地址，指明该数据包发送的目标主机为“tiger”。“ip”表明该数据包 是IP数据包，“60”是数据包的长度，“mag.36579 > tiger.ftp”表明该数据包是从主机“mag”的36579端口发往主机“tiger”的FTP(21)端口。“ack 25565”表示对序列号为25565的包进行确认，“win 8970”则指明发送窗口的大小为8760。

2. ARP包的输出信息

若使用“tcpdump arp -c 2”命令截获ARP数据包，得到的输出结果可能是：

20:42:22.713502 eth0 
> arp who-has mag tell tiger 
(00:d0:59:bf:da:06) 
20:42:22.713907 eth0 
< arp reply mag is-at 08:90:b0:2f:af:46 
(00:d0:59:bf:da:06)

在 输出的信息中，“20:42:22”为截获数据包的时间；“713502”和“713907”为毫秒数；“eth0 >”表明从主机发出该数据包；“eth0 <”表明从主机接收该数据包。“arp”表明该数据包是ARP请求，“who-has mag tell tiger”表明是主机“tiger”请求主机“mag”的MAC地址，“00:d0:59:bf:da:06”是主机“tiger”的MAC地址。 “reply mag is-at”表明主机“mag”响应“tiger”的ARP请求，“08:90:b0:2f:af:46”是主机“mag”的MAC地址。

3. TCP包的输出信息

用Tcpdump截获的TCP包的一般输出格式如下：

src > dst: flags data-sequno ack window urgent options

“src > dst:”标明从源地址到目的地址；flags是TCP包中的标志信息，包括S(SYN)标志、F(FIN)标志、P(PUSH)标志、R(RST)标志 和“.”(没有标志)；data-sequno是数据包中的数据序列号；ack是下次期望的数据序列号；window是接收缓存的窗口大小；urgent 标明数据包中是否有紧急指针；options是可能的选项值。

4. UDP包的输出信息

用Tcpdump截获的UDP包的一般输出格式如下：

src.port1 > dst.port2: udp lenth

UDP中包含的信息很简单。上面的输出结果表明从主机“src”的“port1”端口发出的一个UDP数据包被送到主机“dst”的“port2”端口，数据包的类型是UDP，其长度为“lenth”。

通 过上面的介绍能够知道，Tcpdump是个命令行方式的嗅探器。他能够根据需要显示出经过一个网络接口的任何数据包，供网络管理员对网络进行检测。但由于 采用的是命令行方式，对这些数据包的分析可能会比较困难。利用Tcpdump提供的表达式过滤一些截获的数据包，能够从截获的大量数据包中提取出有用的信 息，从而能够有针对性地对网络进行监测。

由于任何网络嗅探器的原理都大体相似，因而Tcpdump的基本知识能够应用于几乎任何的嗅 探器。Tcpdump是基于命令行方式的嗅探器，其输出结果比较难于分析，因此很多网络管理员都使用图像化的嗅探器来检测网络故障，并处理可能存在的安全 问题。下次将介绍两个图像化的网络嗅探器—Ethereal和EhterApe。同Tcpdump相比，使用这两个嗅探器的分析过程要简单许多。