tcpdump的使用

    tcpdump是一款抓包工具，用来监听指定网络接口的数据包流向

    直接使用tcpdump会监听第一个网络接口的数据流向

    选项：

        -nn：直接以IP和端口号显示，而非主机名与服务名称

        -i ：后面接要监听的网络端口，例如eth0,lo等

        -w ：将监听的数据包结果储存下来，后面文件名

        -c ：监听的数据包数量，如果不接这个参数，tcpdump会持续不断的监听，直到输入              ctrl+c为止

        -A ：数据包的内容以ASCII码显示，通常用来捉取网页数据包

        -e ：用mac地址来显示数据包

        -q ：仅列出较为简短的数据包结果，每一行的内容比较精简

        -X ：可以列出十六进制以及ASCII码的数据包内容，对于监听数据包内容很有用

        -r ：将之前存好的数据包文件读出来

    关键字：

        第一种是要监听的目标类型的关键字，主要包括host，net，port，如果不指定默认是host

        第二种是确定传输方向的关键字，主要包括src（来源），dst（目标）

        第三种是协议的关键字，主要包括fddi，ip，arp，rarp，tcp，udp

        其他重要的关键字：gateway， broadcast，less， greater，

        三种逻辑运算：

            非：可以用not也可以用 ! 

            与：可以用and也可以用&&

            或：用or

例：

tcpdump -i eth0 host 172.16.151.100 -w /tmp/upload.pcap

在本机上面抓取和172.16.151.100通信的包，并保存到本机的/tmp/目录下命名为upload.pcap。