tcpdump

您可以使用-v選項獲得更多詳細資訊，而-vv可以獲取更多資訊。

有用的選項

假設您已登入到要管理的遠端計算機。如果您不帶任何選項執行“ tcpdump”，則輸出將被來自您的SSH連線的資料包淹沒。為避免這種情況，只需從輸出中消除埠22：

tcpdump not port 22

您可以使用許多不同的埠來執行此操作：

tcpdump not port 143 and not port 25 and not port 22

如果要進行相反的操作，即僅監視某個埠（這對於除錯網路應用程式非常有用），則可以執行以下操作：

tcpdump port 143

您還可以從網路上的特定主機獲取資料：

tcpdump host hal9000如果您的計算機具有多個網路介面，則還可以指定要收聽的網路介面：

tcpdump -i eth1

您還可以指定協議：

tcpdump udp

您可以在/ etc / protocols中找到協議列表。

儲存輸出以備後用

在某些情況下，您可能希望將輸出重定向到檔案，以便以後可以詳細研究它或使用其他程式來解析輸出。在以下示例中，您仍然可以在將輸出儲存到檔案時觀看輸出：

tcpdump -l | tee tcpdump_`date +%Y%m%e-%k.%M`

在上面的示例中，我們可以使用日期和時間來標識每個轉儲。在處理一天中特定時間出現的問題時，這可能會派上用場。

tcpdump還可以選擇將其輸出轉儲為二進位制格式，以便以後讀取。要建立一個二進位制檔案：

tcpdump -w tcpdump_raw_`date +%Y%m%e-%k.%M`

稍後，您可以讓tcpdump使用以下命令讀取檔案

tcpdump -r tcpdump_raw_YYYMMDD-H.M

您也可以使用ethereal程式開啟原始轉儲並解釋它。

tcpdump為我們提供了有關往返於網路的所有資料包的資訊。