tcpdumpieth

1. tcpmp抓包命令

1、tcpmp：默认启动。普通情况下，直接启动tcpmp将监视第一个网络接口上所有流过的数据包。

2、tcpmp -i eth1：监视指定网络接口的数据包，如果不指定网卡，默认tcpmp只会监视第一个网络接口，一般是eth0，下面的例子都没有指定网络接口。

3、tcpmp host sundown：监视指定主机的数据包。打印所有进入或离开sundown的数据包。

4、tcpmp -i eth0 src host hostname：截获主机hostname发送的所有数据。

5、tcpmp -i eth0 dst host hostname：监视所有送到主机hostname的数据包。

6、tcpmp tcp port 23 and host 210.27.48.1：如果想要获取主机210.27.48.1接收或发出的telnet包。

7、tcpmp udp port 123：对本机的udp 123端口进行监视123为ntp的服务端口。

2. 组播v3 怎么tcpmp抓包

你好，我使用的是ubuntu 14.04（虚拟机），可以打开终端输入tcpmp命令抓包。我经常使用的命令是tcpmp -i eth0 -w web.pcap。i参数表示网卡，w参数表示将抓包结果保存到pcap文件中，这样接下来可以使用wireshark查看。如果还想明白别的参数的意义的话，可以输入tcpmp -h，就显示帮助信息了。还有，要使用tcpmp，最好切换到root用户（sudo命令）。

再复制一部分别的的用法，也可以自己再搜索一下：
-A 以ASCII码方式显示每一个数据包(不会显示数据包中链路层头部信息). 在抓取包含网页数据的数据包时, 可方便查看数据(nt: 即Handy for capturing web pages).

-c count
tcpmp将在接受到count个数据包后退出.

-C file-size (nt: 此选项用于配合-w file 选项使用)
该选项使得tcpmp 在把原始数据包直接保存到文件中之前, 检查此文件大小是否超过file-size. 如果超过了, 将关闭此文件,另创一个文件继续用于原始数据包的记录. 新创建的文件名与-w 选项指定的文件名一致, 但文件名后多了一个数字.该数字会从1开始随着新创建文件的增多而增加. file-size的单位是百万字节(nt: 这里指1,000,000个字节,并非1,048,576个字节, 后者是以1024字节为1k, 1024k字节为1M计算所得, 即1M=1024 ＊ 1024 ＝ 1,048,576)

-d 以容易阅读的形式,在标准输出上打印出编排过的包匹配码, 随后tcpmp停止.(nt | rt: human readable, 容易阅读的,通常是指以ascii码来打印一些信息. compiled, 编排过的. packet-matching code, 包匹配码,含义未知, 需补充)

-dd 以C语言的形式打印出包匹配码.

-ddd 以十进制数的形式打印出包匹配码(会在包匹配码之前有一个附加的'count'前缀).

-D 打印系统中所有tcpmp可以在其上进行抓包的网络接口. 每一个接口会打印出数字编号, 相应的接口名字, 以及可能的一个网络接口描述. 其中网络接口名字和数字编号可以用在tcpmp 的-i flag 选项(nt: 把名字或数字代替flag), 来指定要在其上抓包的网络接口.

此选项在不支持接口列表命令的系统上很有用(nt: 比如, Windows 系统, 或缺乏 ifconfig -a 的UNIX系统); 接口的数字编号在windows 2000 或其后的系统中很有用, 因为这些系统上的接口名字比较复杂, 而不易使用.

如果tcpmp编译时所依赖的libpcap库太老,-D 选项不会被支持, 因为其中缺乏 pcap_findalldevs()函数.

-e 每行的打印输出中将包括数据包的数据链路层头部信息