tcpdump中文man帮助.doc

名称 (NAME) tcpdump - 转储网络上的数据流 ? 总览 (SYNOPSIS) tcpdump [ -adeflnNOpqStvx ] [ -c count ] [ -F file ] ???????? [ -i interface ] [ -r file ] [ -s snaplen ] ???????? [ -T type ] [ -w file ] [ expression ] ? 描述 (DESCRIPTION) Tcpdump 打印出 在某个 网络界面 上, 匹配 布尔表达式 expression 的 报头. 对于 SunOS 的 nit 或 bpf 界面: 要 运行 tcpdump , 你 必须 有 /dev/nit 或 /dev/bpf* 的 读访问 权限. 对于 Solaris 的 dlpi: 你 必须 有 网络仿真设备 (network pseudo device), 如 /dev/le 的 读访问 权限. 对于 HP-UX 的 dlpi: 你 必须 是 root, 或者 把它 安装成 root 的 设置uid 程序. 对于 IRIX 的 snoop: 你 必须 是 root, 或者 把它 安装成 root 的 设置uid 程序. 对于 Linux: 你 必须 是 root, 或者 把它 安装成 root 的 设置uid 程序. 对于 Ultrix 和 Digital UNIX: 一旦 超级用户 使用 HYPERLINK http://localhost/cgi-bin/man/man2html?8+pfconfig pfconfig(8) 开放了 promiscuous 操作模式 (promiscuous-mode), 任何用户 都可以 运行 tcpdump. 对于 BSD: 你 必须 有 /dev/bpf* 的 读访问 权限. ? 选项 (OPTIONS) -a 试着 把 网络和广播地址 转换成 名称. -c 当 收到 count 报文 后 退出. -d 把 编译好的 报文匹配模板 (packet-matching code) 翻译成 可读形式, 传往 标准输出, 然后退出. -dd 把 报文匹配模板 (packet-matching code) 以 C 程序片断 的 形式 输出. -ddd 把 报文匹配模板 (packet-matching code) 以 十进制数 形式 输出 (前面 加上 总数). -e 每行 都 显示 链路层报头. -f 用 数字形式 显示 外部的 互联网地址, 而不是 字符形式 (这个 选项 用来绕开 脑壳坏光的 SUN 黄页服务器 的 问题 --- 一般说来 它 翻译 外部网络数字地址 的时候 会 长期挂起). -F 把 file 的内容 用作 过滤表达式. 忽略 命令行 上 的 表达式. -i 监听 interface. 如果 不指定 接口, tcpdump 在 系统 的 接口 清单 中, 寻找 号码最小, 已经 配置好的 接口 (loopback 除外). 选中的时候 会 中断 连接. -l 行缓冲 标准输出. 可用于 捕捉 数据 的 同时 查看 数据. 例如, ``tcpdump??-l??|??tee dat or ``tcpdump??-l ?? dat????tail??-f??dat. -n 别把 地址 转换成 名字 (就是说, 主机地址, 端口号等) -N 不显示 主机名字 中的 域名 部分. 例如, 如果 使用 这个 选项, tcpdump 只显示 ``nic, 而不是 ``. -O 禁止运行 报文匹配模板 的 优化器. 只有 当你 怀疑 优化器 有 bug 时 才有用. -p 禁止 把 接口 置成 promiscuous 模式. 注意, 接口 有可能 因 其他原因而 处于 promiscuous 模式; 因此, -p 不能 作为 `ether host 或 ether broadcast 的 简写. -q 快速输出. 显示 较少的 协议信息, 输出行 会 短一点点. -r 从 file 中 读入 数据报 (文件 是用 -w 选项 创建的). 如果 file 是 ``-, 就 读 标准输入. -s 从每个 报文 中 截取 snaplen 字节的数据, 而不是 缺省的 68 (如果是 SunOS 的 NIT, 最小值是 96). 68 个字节 适用于 IP, ICMP, TCP 和 UDP, 但是 有可能 截掉 名字服务器 和 NFS 报文 的 协议 信息 (见下面). 输出时 如果指定 ``[|proto], tcpdump 可以 指出 那些 捕捉量