tcpdump的移植和使用方法

简介

用简单的话来定义tcpdump，就是：dump the traffic on a network，根据使用者的定义对网络上的数据包进行截获的包分析工具。tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤，并提供and、or、not等逻辑语句来帮助你去掉无用的信息。

官方下载地址

http://www.tcpdump.org/

生成可执行文件：
下载以下两个文件
tcpdump-4.8.1.tar.gz
libpcap-1.8.1.tar.gz
将其放在同一目录下
1、解压两个文件（tar xftcpdump-4.8.1.tar.gz...）
2、进入libpcap-1.8.1目录下并运行如下命令
1：./configure --host=arm-linux --target=arm-linux CC=/opt/arm-2011.03/bin/arm-none-linux-gnueabi-gcc--with-pcap=linux
2： make
3: make install
之后会生成.a文件
3、进入tcpdump-4.8.1目录并运行如下命令
1、./configure --host=arm-linux --target=arm-linux CC=/opt/arm-2011.03/bin/arm-none-linux-gnueabi-gcc
2、 make
3、 make install
之后会在当前目录下生成名为tcpdump的可执行文件。
4、将执行文件放到需要使用的系统中即可
注：CC为自己使用的交叉工具链

实用命令实例

默认启动

tcpdump

普通情况下，直接启动tcpdump将监视第一个网络接口上所有流过的数据包。

监视指定网络接口的数据包

tcpdump -i eth1

如果不指定网卡，默认tcpdump只会监视第一个网络接口，一般是eth0，下面的例子都没有指定网络接口。　

监视指定主机的数据包

打印所有进入或离开sundown的数据包.

tcpdump host sundown

也可以指定ip,例如截获所有210.27.48.1的主机收到的和发出的所有的数据包

tcpdump host 210.27.48.1 

打印helios 与 hot 或者与 ace 之间通信的数据包

tcpdump host helios and \( hot or ace \)

截获主机210.27.48.1和主机210.27.48.2或210.27.48.3的通信

tcpdump host 210.27.48.1 and \ (210.27.48.2 or 210.27.48.3 \) 

打印ace与任何其他主机之间通信的IP 数据包, 但不包括与helios之间的数据包.

tcpdump ip host ace and not helios

如果想要获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包，使用命令：

tcpdump ip host 210.27.48.1 and ! 210.27.48.2

截获主机hostname发送的所有数据

tcpdump -i eth0 src host hostname

监视所有送到主机hostname的数据包

tcpdump -i eth0 dst host hostname

监视指定主机和端口的数据包

如果想要获取主机210.27.48.1接收或发出的telnet包，使用如下命令

tcpdump tcp port 23 and host 210.27.48.1

对本机的udp 123端口进行监视123为ntp的服务端口

tcpdump udp port 123 

监视指定网络的数据包

打印本