逻辑运算 　　表示方法取与 　　　　 “and”或“&&”取或 　　　　 “or”或“ll“”取非 　　　　 “not”或“!”

tcpdump还在其他几种关键字：gateway、broadcast、less、greater

可以利用这些关键字进行组合，从而组合为比较强大的过滤条件。下面举例说明

(1)只想查目标机器端口是21或80的网络包，其他端口的我不关注：sudo tcpdump -i eth0 -c 10 ‘dst port 21 or dst port 80’

(2) 想要截获主机172.16.0.11 和主机210.45.123.249或 210.45.123.248的通信，使用命令(注意括号的使用)：sudo tcpdump -i eth0 -c 3 ‘host 172.16.0.11 and (210.45.123.249 or210.45.123.248)’

(3)想获取使用ftp端口和ftp数据端口的网络包sudo tcpdump ‘port ftp or ftp-data’这里 ftp、ftp-data到底对应哪个端口？ linux系统下 /etc/services这个文件里面，就存储着所有知名服务和传输层端口的对应关系。如果你直接把/etc/services里的ftp对应的端口值从21改为了3333，那么tcpdump就会去抓端口含有3333的网络包了。

(4) 如果想要获取主机172.16.0.11除了和主机210.45.123.249之外所有主机通信的ip包，使用命令：sudo tcpdump ip ‘host 172.16.0.11 and ! 210.45.123.249’

(5) 抓172.16.0.11的80端口和110和25以外的其他端口的包sudo tcpdump -i eth0 ‘host 172.16.0.11 and! port 80 and ! port 25 and ! port 110’

首先了解如何从包头过滤信息

proto[x:y] : 过滤从x字节开始的y字节数。比如ip[2:2]过滤出3、4字节（第一字节从0开始排）proto[x:y] & z = 0 : proto[x:y]和z的与操作为0proto[x:y] & z !=0 : proto[x:y]和z的与操作不为0proto[x:y] & z = z : proto[x:y]和z的与操作为zproto[x:y] = z : proto[x:y]等于z

操作符 : >, =, 69’IPv6的数据也会匹配，看看第二种方法。b. 位操作

0100 0101 : 第一字节的二进制0000 1111 : 与操作 5’或者tcpdump -i eth1 ‘ip[0] & 0x0f > 5’

当发送端的MTU大于到目的路径链路上的MTU时就会被分片，这段话有点拗口，权威的请参考《TCP/IP详解》。唉，32借我的书没还，只能凑合写，大家记得看书啊。

分片信息在IP头的第七和第八字节：±±±±±±±±±±±±±±±±+|Flags| Fragment Offset |±±±±±±±±±±±±±±±±+Bit 0: 保留，必须是0Bit 1: (DF) 0 = 可能分片, 1 = 不分片Bit 2: (MF) 0 = 最后的分片, 1 = 还有分片Fragment Offset字段只有在分片的时候才使用。要抓带DF位标记的不分片的包，第七字节的值应该是：01000000 = 64tcpdump -i eth1 ‘ip[6] = 64’

匹配MF，分片包tcpdump -i eth1 ‘ip[6] = 32’最后分片包的开始3位是0，但是有Fragment Offset字段。匹配分片和最后分片tcpdump -i eth1 ‘((ip[6:2] > 0) and (not ip[6] = 64))’测试分片可以用下面的命令：ping -M want -s 3000 192.168.1.1

TTL字段在第九字节，并且正好是完整的一个字节，TTL最大值是255，二进制为11111111。可以用下面的命令验证一下：

$ ping -M want -s 3000 -t 256 192.168.1.200ping: ttl 256 out of range±±±±±±±±+| Time to Live |±±±±±±±±+在网关可以用下面的命令看看网络中谁在使用traceroutetcpdump -i eth1 ‘ip[8] < 5’

大于600字节tcpdump -i eth1 ‘ip[2:2] > 600’

首先还是需要知道TCP基本结构，再次推荐《TCP/IP详解》，卷一就够看的了，避免走火入魔。

TCP头0 1 2 30 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±+| Source Port | Destination Port |±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±+| Sequence Number |±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±+| Acknowledgment Number |±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±+| Data | |C|E|U|A|P|R|S|F| || Offset| Res. |W|C|R|C|S|S|Y|I| Window || | |R|E|G|K|H|T|N|N| |±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±+| Checksum | Urgent Pointer |±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±+| Options | Padding |±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±+| data |±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±+抓取源端口大于1024的TCP数据包tcpdump -i eth1 ‘tcp[0:2] > 1024’匹配TCP数据包的特殊标记TCP标记定义在TCP头的第十四个字节

±±±±±±±±+|C|E|U|A|P|R|S|F||W|C|R|C|S|S|Y|I||R|E|G|K|H|T|N|N|±±±±±±±±+重复一下TCP三次握手，两个主机是如何勾搭的：

源发送SYN目标回答SYN, ACK源发送ACK没女朋友的童鞋要学习一下：

失败的loser是酱紫的：

只抓SYN包，第十四字节是二进制的00000010，也就是十进制的2tcpdump -i eth1 ‘tcp[13] = 2’抓SYN, ACK （00010010 or 18）tcpdump -i eth1 ‘tcp[13] = 18’抓SYN或者SYN-ACKtcpdump -i eth1 ‘tcp[13] & 2 = 2’用到了位操作，就是不管ACK位是啥。

抓PSH-ACKtcpdump -i eth1 ‘tcp[13] = 24’抓所有包含FIN标记的包（FIN通常和ACK一起，表示幽会完了，回见）tcpdump -i eth1 ‘tcp[13] & 1 = 1’抓RST（勾搭没成功，伟大的greatwall对她认为有敏感信息的连接发RST包，典型的棒打鸳鸯）tcpdump -i eth1 ‘tcp[13] & 4 = 4’下图详细描述了TCP各种状态的标记，方便分析。

tcp_state_machine.jpg

tcpdump考虑了一些数字恐惧症者的需求，提供了部分常用的字段偏移名字：

icmptype (ICMP类型字段)icmpcode (ICMP符号字段)tcpflags (TCP标记字段)

ICMP类型值有：icmp-echoreply, icmp-unreach, icmp-sourcequench, icmp-redirect, icmp-echo, icmp-routeradvert, icmp-routersolicit, icmp-timxceed, icmp-paramprob, icmp-tstamp, icmp-tstampreply, icmp-ireq, icmp-ireqreply, icmp-maskreq, icmp-maskreply

TCP标记值：tcp-fin, tcp-syn, tcp-rst, tcp-push, tcp-push, tcp-ack, tcp-urg这样上面按照TCP标记位抓包的就可以写直观的表达式了：

只抓SYN包tcpdump -i eth1 ‘tcp[tcpflags] = tcp-syn’抓SYN, ACKtcpdump -i eth1 ‘tcp[tcpflags] & tcp-syn != 0 and tcp[tcpflags] & tcp-ack != 0’

tcpdump -i eth1 ‘((port 25) and (tcp[(tcp[12]>>2):4] = 0x4d41494c))’抓取数据区开始为"MAIL"的包，"MAIL"的十六进制为0x4d41494c。

tcpdump -i eth1 ‘tcp[(tcp[12]>>2):4] = 0x47455420’"GET "的十六进制是47455420

tcpdump -i eth1 ‘tcp[(tcp[12]>>2):4] = 0x5353482D’"SSH-"的十六进制是0x5353482D

tcpdump -i eth1 ‘(tcp[(tcp[12]>>2):4] = 0x5353482D) and (tcp[((tcp[12]>>2)+4):2] = 0x312E)’抓老版本的SSH返回信息，如"SSH-1.99…"

三、大叔注如果是为了查看数据内容，建议用tcpdump -s 0 -w filename把数据包都保存下来，然后用wireshark的Follow TCP Stream/Follow UDP Stream来查看整个会话的内容。

-s 0是抓取完整数据包，否则默认只抓68字节。另外，用tcpflow也可以方便的获取TCP会话内容，支持tcpdump的各种表达式。

3.1、UDP头0 7 8 15 16 23 24 31±-------±-------±-------±-------+| Source | Destination || Port | Port |±-------±-------±-------±-------+| | || Length | Checksum |±-------±-------±-------±-------+| || DATA … |±----------------------------------+抓DNS请求数据tcpdump -i eth1 udp dst port 533.2、其他-c参数对于运维人员来说也比较常用，因为流量比较大的服务器，靠人工CTRL+C还是抓的太多，甚至导致服务器宕机，于是可以用-c参数指定抓多少个包。

time tcpdump -nn -i eth0 ‘tcp[tcpflags] = tcp-syn’ -c 10000 > /dev/null上面的命令计算抓10000个SYN包花费多少时间，可以判断访问量大概是多少。

下面介绍一些tcpdump中过滤语句比较高级的用法想获取172.16.10.11和google.com之间建立TCP三次握手中带有SYN标记位的网络包.

命令为：sudo tcpdump -i eth0 ‘host 172.16.0.11 andhost google.com and tcp[tcpflags]&tcp-syn!=0’ -c 3 -nn