Tcpdump使用的基本模式及扩展模式

• tcpdump使用的基本模式

使用抓包工具，我们往往思考这样一个问题：如何抓，抓了怎么保存？针对这个问题，我们先通过一个基本例子了解tcpdump是如何实现的。

需求：针对电脑到无线网卡进行抓包并保存为pcap格式的抓包文件

抓包命令如下：

$ sudo tcpdump -i wlp58s0 -w /home/tanwubin/Documents/Capture/wlp58s0.pcap
tcpdump: listening on wlp58s0, link-type EN10MB (Ethernet), capture size 262144 bytes
^C50 packets captured
50 packets received by filter

-i 是指定要抓取的网卡，可以理解为interface

-w 指定结果保存的位置，可以理解为where   抓包结果就可以通过wireshark打开进行分析了。

通过上面的例子我们知道了tcpdump的基本使用模式：tcpdump 抓包参数 存储参数，存储参数基本固定，因此我们需要进一步学习的便是抓包参数， 对于抓包参数我理解不需要死记硬背，用的时候能查到就行，到哪里查询呢？tcpdump官网:www.tcpdump.org 或者terminal下输入tcpdump -h查看帮助文档,就跟字典一样，不用记住所有的字，不会的时候查询就行。当然，随着应用增多，熟能生巧后，不认识的也就会越来越少了：）。

• tcpdump使用的扩展模式

tcpdump支持针对网络层、协议、主机、网络或端口的过滤，并提供and、or、not等逻辑语句来帮助你去掉无用的信息。这就是扩展模式，当然可以完全不用这个 扩展模式，为啥呢？因为基本模式抓到报文后，通过wireshark一样可以完成过滤的功能。 tcpdump官网说明：selects which packets will be dumped. If no expression is given, all packets on the net will be dumped. Otherwise, only packets for which expression is `true’ will be dumped.

扩展使用模式：tcpdump 抓包参数 扩展参数 存储参数

过滤的表达语法在官网帮助文档也可以查询到:pcap-filter