how to use tcpdump command:
note: 显示的时候最好都已数字的形式显示.
1) tcpdump -i en1; 告诉 tcpdump 要监听的端口号.
2) tcpdump -i en1 -nn; -nn 告诉协议要以数字的形式显示(不是默认的TCP, 而是对应的协议号6).
3) tcpdump -i en1 -nn 'port 53' -c 1;
显示如下:
IP 192.168.1.101.55202 > 219.148.204.66.53: 63184+ A? www.google.com.hk. (35)
解释:‘port 53’ -c 1, 是监听53端口,并显示 1 行.
4)tcpdump -i en1 -nn -c 1 'port 53' -X
显示如下:
IP 192.168.1.101.63774 > 219.148.204.66.53: 34961+ TXT? time.asia.apple.com. (37)
0x0000: 4500 0041 e59f 0000 ff11 6c27 c0a8 0165 E..A......l'...e
0x0010: db94 cc42 f91e 0035 002d 0f07 8891 0100 ...B...5.-......
0x0020: 0001 0000 0000 0000 0474 696d 6504 6173 .........time.as
0x0030: 6961 0561 7070 6c65 0363 6f6d 0000 1000 ia.apple.com....
0x0040: 01
解释: -X 显示方式是以十六进制,ascii 显示. 使用是应该先指定端口,在-X,否则会出现语法错误.