• tcpdump

(1).类型的关键字，主要包括host，net，port,
例如 host 210.27.48.2，指明 210.27.48.2是一台主机，net 202.0.0.0 指明 202.0.0.0是一个网络地址，port 23 指明端口号是23。如果没有指定类型,缺省的类型是host.
(2).传输方向的关键字，主要包括src , dst ,dst or src, dst and src ,这些关键字指明了传输的方向。
举例说明，src 210.27.48.2 ,指明ip包中源地址是210.27.48.2 , dst net 202.0.0.0 指明目的>    网络地址是202.0.0.0 。如果没有指明方向关键字，则缺省是src or dst关键字。
(3).协议的关键字，主要包括fddi,ip,arp,rarp,tcp,udp等类型。
Fddi指明是在FDDI(分布式光纤数据接>    口网络)上的特定的网络协议，实际上它是"ether"的别名，fddi和ether具有类似的源地址和目的地址，>    所以可以将fddi协议包当作ether的包进行处理和分析。其他的几个关键字就是指明了监听的包的协议内>    容。如果没有指定任何协议，则tcpdump将会监听所有协议的信息包。
 (4).其他重要的关键字如下：gateway, broadcast,less,greater,还有三种逻辑运算: 'not     ' '! ';'and','&&';'or' ,'││'；这些关键字可以组合起来构成强大的组合条件来满足人们的需要

tcpdump常用选项:
 -i监听 interface.
 -l行缓冲 标准输出. 可用于 捕捉 数据 的 同时 查看 数据.
例如 tcpdump  -l  |  tee dat
-w把 原始报文 存进 file, 而不是 分析 和 显示. 它们 可以
-r从 file 中 读入 数据报 (文件 是用 -w 选项 创建的). 如果 file 是 ``-'', 就 读 标准输入.
-c当 收到 count 报文 后 退出

tcpdump用法:
              (ip)(src)host hostname/IP
              (tcp)(src)port portnum/name
           ether src ehost   以太网源地址为ehost的包
           ether host ehost 以太网地址为ehost的包
如果 给出 标识符, 但没给 关键字, 那么 暗指 最近使用 的 关键字. 例如,not host vs and ace作为not host vs and host ace的简写形式, 不应该 和not ( host vs or ace )混淆.

 A.想要截获所有210.27.48.1 的主机收到的和发出的所有的数据包：
 #tcpdump host 210.27.48.1
 
B.想要截获主机210.27.48.1 和主机210.27.48.2 或210.27.48.3的通信，使用命令：（在命令行中适用括号时，一定要\或者单引号引起来）
 #tcpdump host 210.27.48.1 and \ (210.27.48.2 or 210.27.48.3 \)
 #tcpdump ’host 210.27.48.1 and  (210.27.48.2 or 210.27.48.3 )‘

C.如果想要获取主机210.27.48.1和除了主机210.27.48.2之外所有主机通信的ip包，使用命令：
 #tcpdump ip host 210.27.48.1 and ! 210.27.48.2

D.显示 ace 和 除了 helios 以外的 所有 主机 的 IP报文:
#tcpdump ip host ace and not helios

E.显示 所有 通过 网关 snup 的 ftp 报文 (注意 这个 表达式 被 单引号 括起, 防止 shell 解释 园括弧):
#tcpdump 'gateway snup and (port ftp or ftp-data)'

• 图形化网络流量分析工具wireshark

和tcpdump类似，不过对于抓取的包有更好的显示:帧,协议etc
注意四点:
(1)设置包过滤条件(这个可保存供以后使用的):
捕捉过滤的形式为：和取值(and/or)进行进行基本单元连接，加上可选的，高有限级的not:
[not] primitive [and|or [not] primitive ...]这个和tcpdump是一样的
,如:tcp port 23 and src host myhost
(2)设置显示条件(这个也可保存的):
如:ip.addr==10.0.0.5 and tcp.flags.fin
(3)查找字段(ctl+f)
在抓取的报中查找特定字符:用户名,密码etc
(4)IO graph和flow graph:
这个很适合上网络协议课时演示,空讲太抽象了.........

Tcpdump的中文man：
http://www.cbi.pku.edu.cn/chinese/documents/csdoc/cman/tcpdump.html
Wireshark用法: