tcpdump的-转储网络流量精读.docx

TCPDUMP部分：用户命令（1）更新日期：2015年9月17日指数返回主目录?名称tcpdump的 - 转储网络流量??概要tcpdump的?[?-AbdDefhHIJKlLnNOpqStuUvxX＃?] [?-B?BUFFER_SIZE?]????????? [?-c?计数???]????????? [?-CFILE_SIZE?] [?-G?rotate_seconds?] [?-F?文件?]????????? [?-i?接口?] [?-j?tstamp_type?] [?-m?模块?] [?-M?的秘密]????????? [?--number?] [?-Q?在|出| INOUT?]????????? [?-r?文件?] [?-V?文件?] [?-s?snaplen有?] [?-T?型] [?-w?文件?]????????? [?-W?filecount?]????????? [?-E?SPI @ IPADDR算法中：秘密，...?]????????? [?-y?datalinktype?] [?-Z?postrotate命令?] [?-Z?用户?]????????? [?--time戳精=?tstamp_precision?]???????? [?--immediate模式?] [?--version?]????????? [?表情?]??描述tcpdump的打印出符合布尔一个网络接口的数据包的内容的描述表达?;?说明通过时间戳之前，打印，在默认情况下，时，分，秒，秒的分数从午夜开始。它也可以与运行?-w?标志，这导致它的数据包数据保存到供以后分析文件，及/或与?-r?标志，这导致它从已保存的数据包文件读取，而不是读分组从一个网络接口。它也可以与运行?-V?标志，这将导致其读取的保存分组文件列表。在所有的情况下，只有包相匹配?的表达?会被处理?tcpdump的。TCPDUMP?会，如果不与运行?-c?标志，继续捕获数据包，直到它被一个SIGINT信号中断（生成，例如，通过键入您的中断字符，通常控制-C）或SIGTERM信号（通常与产生?杀（1）命令）;?如果与运行?-c?标志，直到它被一个SIGINT或SIGTERM信号中断或指定的数据包数量已处理完毕，就会捕获数据包。当?tcpdump的?完捕获数据包，它会报告的罪状：分组``捕获（这是数据包的数量?的tcpdump?已收到并处理）;包``通过过滤器接受（这是什么意思取决于你正在运行的操作系统?tcpdump的，并可能对操作系统进行配置的方式-如果在命令行上指定一个过滤器，在一些操作系统它计数包不管他们被过滤表达式和匹配，即使他们被过滤表达式，匹配无论?tcpdump的?已经阅读并处理它们呢，其他操作系统它只计算被过滤表达式不管匹配的数据包是否?tcpdump的?已经阅读并处理它们呢，和其他操作系统就只计算被筛选表达式匹配，采用了处理数据包?tcpdump的）;分组``由内核（这是已放弃的，由于缺乏的缓冲空间，通过在其上的OS的包捕获机制的包的数量下降?tcpdump的?运行过程中，如果在OS报告该信息的应用程序;如果没有，它将被报告为0）。在支持SIGINFO信号平台，如大多数BSD系统（包括Mac OS X）和数字/ Tru64 UNIX的，当它收到一个SIGINFO信号（生成，例如，通过键入你的``身份字符会报告这些罪名，一般控制-T，虽然在某些平台上，如Mac OS X中，``状态字符不是默认设置，所以你必须设置?的stty（1）为了使用它），并会继续拍摄数据包。在不支持SIGINFO信号平台，同样可以通过使用SIGUSR1信号来实现。从网络接口读取数据包可能会要求你有特殊的权限;?看到?PCAP（3PCAP）?男子详细信息页面。读取保存的数据包文件不需要特殊权限。??OPTIONS-一个打印的ASCII每一个包（减去其链接级别标题）。方便的捕捉网页。-b打印在ASDOT符号，而不是ASPLAIN符号BGP报文的AS号。-B?BUFFER_SIZE--buffer大小=?BUFFER_SIZE将操作系统捕获缓冲区大小为BUFFER_SIZE，在昆明植物研究所（1024字节）为单位。-c?计数接收后退出数量的数据包。-C?FILE_SIZE写一个原始数据包到了saveFile之前，检查文件是否是目前大于FILE_SIZE，如果是这样，关闭当前saveFile的，并打开一个新的。第一saveFile的后Savefiles将与指定的名称?-w?后旗，有一个数字，从1开始，持续向上。的单位FILE_SIZE几百万字节（1,000,000字节，而不是1,048,576字节）。-d转储在人类可读的形式输出到标准输出并停止编译包匹配代码。-dd转储包匹配代码作为???程序片