在傳統的網絡闡明和測試技能中，嗅探器(sniffer)是最常見，也是最重要的技能之一。sniffer東西首先是為網絡打點員和網絡措施員舉辦網絡闡明而設計的。那么進修啦小編就要在這里先容下Linux下抓包東西tcpdump利用要領了。

　　匹配ether廣播包。ether廣播包的特征是mac全1.故如下即可匹配：

　　tcpdump 'ether dst ff:ff:ff:ff:ff:ff'

　　[email protected]:~$ sudo tcpdump -c 1 'ether dst ff:ff:ff:ff:ff:ff'

　　tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

　　listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes

　　10:47:57.784099 arp who-has 192.168.240.77 tell 192.168.240.189

　　在此，只匹配1個包就退出了。第一個是arp請求包，arp請求包的是回收廣播的方法發送的，被匹配那是當之無愧的。

　　匹配ether組播包，ether的組播包的特征是mac的最高位為1，其它位用來暗示組播組編號，假如你想匹配其的多播組，知道它的組MAC地點即可。如

　　tcpdump 'ether dst ' Mac_Address暗示地點，填上適當的即可。假如想匹配所有的ether多播數據包，那么臨時請放下，下面會繼承為你講授更高級的應用。

　　(2)匹配arp包

　　arp包用于IP到Mac址轉換的一種協議，包羅arp請求和arp承諾兩種報文，arp請求報文是ether廣播方法發送出去的，也即 arp請求報文的mac地點是全1，因此用ether dst FF;FF;FF;FF;FF;FF可以匹配arp請求報文，但不能匹配承諾報文。因此要匹配arp的通信進程，則只有利用arp來指定協議。

　　tcpdump 'arp' 即可匹配網絡上arp報文。

　　[email protected]:~$ arping -c 4 192.168.240.1>/dev/null& sudo tcpdump -p 'arp'

　　[1] 9293

　　WARNING: interface is ignored: Operation not permitted

　　tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

　　listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes

　　11:09:25.042479 arp who-has 192.168.240.1 (00:03:d2:20:04:28 (oui Unknown)) tell ylin.local

　　11:09:25.042702 arp reply 192.168.240.1 is-at 00:03:d2:20:04:28 (oui Unknown)

　　11:09:26.050452 arp who-has 192.168.240.1 (00:03:d2:20:04:28 (oui Unknown)) tell ylin.local

　　11:09:26.050765 arp reply 192.168.240.1 is-at 00:03:d2:20:04:28 (oui Unknown)

　　11:09:27.058459 arp who-has 192.168.240.1 (00:03:d2:20:04:28 (oui Unknown)) tell ylin.local

　　11:09:27.058701 arp reply 192.168.240.1 is-at 00:03:d2:20:04:28 (oui Unknown)

　　11:09:33.646514 arp who-has ylin.local tell 192.168.240.1

　　11:09:33.646532 arp reply ylin.local is-at 00:19:21:1d:75:e6 (oui Unknown)

　　本例中利用arping -c 4 192.168.240.1發生arp請求和吸收承諾報文，，而tcpdump -p 'arp'匹配出來了。此處-p選項是使網絡事情于正常模式(非稠濁模式)，這樣是利便查察匹配功效。

　　(3)匹配IP包

　　眾所周知，IP協議是TCP/IP協議中最重要的協議之一，正是因為它才氣把Internet互聯起來，它可謂功不行沒，下面闡明匹配IP包的表達式。

　　對IP舉辦匹配

　　tcpdump 'ip src 192.168.240.69'

　　[email protected]:~$ sudo tcpdump -c 3 'ip src 192.168.240.69'

　　tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

　　listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes

　　11:20:00.973605 IP ylin.local.51486 > walnut.crossbeamsys.com.ssh: S 2706301341:2706301341(0) win 5840

　　11:20:00.974328 IP ylin.local.32849 > 192.168.200.150.domain: 5858+ PTR? 20.200.168.192.in-addr.arpa. (45)

　　11:20:01.243490 IP ylin.local.51486 > walnut.crossbeamsys.com.ssh: . ack 2762262674 win 183

　　IP廣播組播數據包匹配：只需指明廣播或組播地點即可

　　tcpdump 'ip dst 240.168.240.255'

　　[email protected]:~$ sudo tcpdump 'ip dst 192.168.240.255'

　　tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

　　listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes

　　11:25:29.690658 IP dd.local > 192.168.240.255: ICMP echo request, id 10022, seq 1, length 64

　　11:25:30.694989 IP dd.local > 192.168.240.255: ICMP echo request, id 10022, seq 2, length 64

　　11:25:31.697954 IP dd.local > 192.168.240.255: ICMP echo request, id 10022, seq 3, length 64

　　11:25:32.697970 IP dd.local > 192.168.240.255: ICMP echo request, id 10022, seq 4, length 64

　　11:25:33.697970 IP dd.local > 192.168.240.255: ICMP echo request, id 10022, seq 5, length 64

　　11:25:34.697982 IP dd.local > 192.168.240.255: ICMP echo request, id 10022, seq 6, length 64

　　此處匹配的是ICMP的廣播包，要發生此包，只需要同一個局域網的另一臺主機運行ping -b 192.168.240.255即可，雖然還可發生組播包，由于沒有適合的軟件舉辦模仿發生，在此不舉例子。

　　(4)匹配TCP數據包