| 协议关键字指明监听包的协议内容,主要包括FDDI、IP、ARP、RARP、TCP、UDP等类型。FDDI指明是FDDI(光纤分布式数据接口网络)上的特定的网络协议,实际上它是“Ether”的别名,FDDI和Ether具有类似的源地址和目的地址,所以可以将FDDI协议包当作Ether的包进行处理和分析。如果没有指定任何协议,则TCPDump将会监听所有协议的信息包。
|
|
|
| 除了上述三种类型的关键字之外,其他关键字有Gateway、Broadcast、Less、和Greater。此外,TCPDump还提供三种逻辑运算功能,包括非运算“not”“!”,与运算“and”“&”,或运算“or”“||”。通过这些关键字及逻辑运算符,可以构成灵活的过滤规则。
|
|
|
|
|
| (1)截获X.Y.Z.61主机收到的和发出的所有数据包,使用如下命令:
|
|
|
|
|
| (2)截获主机X.Y.Z.1和主机X.Y.Z.2或X.Y.Z.3的通信(在命令行中使用括号时,一定要在括号前应用转义字符“\”),使用如下命令:
|
|
|
|
|
| (3)监听主机X.Y.Z.1与除了主机X.Y.Z.2之外的其他所有主机通信的IP包,使用如下命令:
|
|
|
|
|
| (4)获取主机X.Y.Z.1接收或发出的Telnet包,使用如下命令:
|
|
|
|
|
