tcpdumpieth

1. tcpmp抓包命令

1、tcpmp：默認啟動。普通情況下，直接啟動tcpmp將監視第一個網路介面上所有流過的數據包。

2、tcpmp -i eth1：監視指定網路介面的數據包，如果不指定網卡，默認tcpmp只會監視第一個網路介面，一般是eth0，下面的例子都沒有指定網路介面。

3、tcpmp host sundown：監視指定主機的數據包。列印所有進入或離開sundown的數據包。

4、tcpmp -i eth0 src host hostname：截獲主機hostname發送的所有數據。

5、tcpmp -i eth0 dst host hostname：監視所有送到主機hostname的數據包。

6、tcpmp tcp port 23 and host 210.27.48.1：如果想要獲取主機210.27.48.1接收或發出的telnet包。

7、tcpmp udp port 123：對本機的udp 123埠進行監視123為ntp的服務埠。

2. 組播v3 怎麼tcpmp抓包

你好，我使用的是ubuntu 14.04（虛擬機），可以打開終端輸入tcpmp命令抓包。我經常使用的命令是tcpmp -i eth0 -w web.pcap。i參數表示網卡，w參數表示將抓包結果保存到pcap文件中，這樣接下來可以使用wireshark查看。如果還想明白別的參數的意義的話，可以輸入tcpmp -h，就顯示幫助信息了。還有，要使用tcpmp，最好切換到root用戶（sudo命令）。

再復制一部分別的的用法，也可以自己再搜索一下：
-A 以ASCII碼方式顯示每一個數據包(不會顯示數據包中鏈路層頭部信息). 在抓取包含網頁數據的數據包時, 可方便查看數據(nt: 即Handy for capturing web pages).

-c count
tcpmp將在接受到count個數據包後退出.

-C file-size (nt: 此選項用於配合-w file 選項使用)
該選項使得tcpmp 在把原始數據包直接保存到文件中之前, 檢查此文件大小是否超過file-size. 如果超過了, 將關閉此文件,另創一個文件繼續用於原始數據包的記錄. 新創建的文件名與-w 選項指定的文件名一致, 但文件名後多了一個數字.該數字會從1開始隨著新創建文件的增多而增加. file-size的單位是百萬位元組(nt: 這里指1,000,000個位元組,並非1,048,576個位元組, 後者是以1024位元組為1k, 1024k位元組為1M計算所得, 即1M=1024 ＊ 1024 ＝ 1,048,576)

-d 以容易閱讀的形式,在標准輸出上列印出編排過的包匹配碼, 隨後tcpmp停止.(nt | rt: human readable, 容易閱讀的,通常是指以ascii碼來列印一些信息. compiled, 編排過的. packet-matching code, 包匹配碼,含義未知, 需補充)

-dd 以C語言的形式列印出包匹配碼.

-ddd 以十進制數的形式列印出包匹配碼(會在包匹配碼之前有一個附加的'count'前綴).

-D 列印系統中所有tcpmp可以在其上進行抓包的網路介面. 每一個介面會列印出數字編號, 相應的介面名字, 以及可能的一個網路介面描述. 其中網路介面名字和數字編號可以用在tcpmp 的-i flag 選項(nt: 把名字或數字代替flag), 來指定要在其上抓包的網路介面.

此選項在不支持介面列表命令的系統上很有用(nt: 比如, Windows 系統, 或缺乏 ifconfig -a 的UNIX系統); 介面的數字編號在windows 2000 或其後的系統中很有用, 因為這些系統上的介面名字比較復雜, 而不易使用.

如果tcpmp編譯時所依賴的libpcap庫太老,-D 選項不會被支持, 因為其中缺乏 pcap_findalldevs()函數.

-e 每行的列印輸出中將包括數據包的數據鏈路層頭部信息