诺基亚e72软件文章列表:

• 1、E72的最佳替代者：诺基亚E5
• 2、简单粗暴的体验评测，三星S8能算最强安卓机皇？
• 3、在哪儿摔倒在哪儿爬起来，黑莓QNX将主宰汽车史上最大屏幕
• 4、互联网史上每次巨变的前夜是什么样子
• 5、TCPdump网络抓包工具超详细教程

E72的最佳替代者：诺基亚E5

诺基亚E5

诺基亚E71、E72缔造出诺基亚E系列的辉煌时代，诺基亚公司在2010年4月13日趁热打铁发布一款E72的最佳接班人，它就是诺基亚E5。

诺基亚E5采用了直板全键盘机身设计，机身尺寸为115×58.9×12.8毫米，机身重量为126克。

外观设计采用的是工程塑料搭配部分金属，大部分采用的都是工程塑料，机身外壳搭配银色金属面板。机身配置一块2.36英寸26万色QVGA级别的TFT彩屏。机身屏幕下方是全键盘区域以及功能按键区。机身正面给我的感觉就是简约大气。

诺基亚E5的背部中上方配备了500万像素的摄像头，摄像头旁边带有补光灯，机身背部电池盖采用金属材质。

E5搭载了塞班9.2操作系统，S60第三版平台，采用600MHZ处理器，拥有250MB的机身内存，支持最大32GB的内存卡存储。电池配备了1200毫安锂电池，待机时间为3天左右。

商务功能配置办公软件Office文档、PDF文档等等软件功能，再加上全键盘的设计，使得移动商务功能相当一流。

娱乐方面它配有FM收音机功能，支持多种影音文件播放，在多媒体方面一点儿不属于N系列手机。它还配有GPS导航以及OVI地图。机身颜色配有黑、白、银、棕、蓝五种颜色可选。

我没用过诺基亚E5，E5的整体造型给我感觉就是简约大气而且时尚的E系列智能全键盘手机，作为诺基亚E72的接班人，E5的性能应该不次于E72。

左E63，中E5，右E72（我个人喜欢E72）

下期介绍诺基亚E60

简单粗暴的体验评测，三星S8能算最强安卓机皇？

本内容来源于@什么值得买SMZDM.COM｜网友 承大锤

大锤的手机基本都是2年以上换一次，进入智能机时代后过手的机型分别是：Galaxy S3, iphone 4s, iphone 6，以及今天要介绍的S8 ：

有人说S3明明比4s领先一代，你这换机是什么逻辑。当年美女小编放假回国，掏出自己1欧元签的垃圾HTC，说触屏坏了，我就掏出S3陪她完成学业，自己用回Nokia E72后感觉回到了石器时代，不能忍，跑去电信签了台4s（当时有活动，超便宜），体验一把顺滑的iOS。

废话不多说了，S8/S8 如今测评满地都是，今天大锤争取给大家一点不一样的~

全文按S8 的热点配置与争议点分章节。

Edge误触

关于误触，只想说：基本不可能。

我反复试验一手按住两侧edge区域，另一只手依然可以自如地进行触控操作。三星旗舰从S6的edge分大小，到S7的edge即plus，再到如今S8/S8 都标配edge，可见edge对三星的重要性。误触这种全世界都知道的问题，三星已经解决得差不多了。

真正的“误触”，感觉在这里：如果App在edge区域有小按钮，（因为几乎没有app会针对edge优化）很难正确按到，比如下图的X2快进：

这个X2按钮有2/3在edge上，实际有效触摸区域却是落在平面上的那1/3，惊讶。

关于解锁

S8的解锁是个大槽点，因此大锤将会几个小章节介绍S8四种解锁的体验与想法~

指纹

S8为了正面屏占比牺牲了实体HOME键，加上超声波指纹技术的不成熟，最后竟迫使三丧把指纹放在了背面一个很难正确触摸的位置！

从iphone 6s开始，指纹识别模块进入2.0时代，之后所有旗舰机，以及国产品牌2500以上机型基本全用上了新的指纹模块，速度比当年5s和6快了不少。S8 当然用的是最新的，速度够快，但位置需要适应：因看不见无法确认指纹传感器被100%覆盖，失败率高。我到现在用了一周多，依然无法100%一次解锁，这点没得洗。

虹膜

虹膜在各种科幻片里早就出现，应用于手机解锁也有两年了。三丧肯定知道自己的背面指纹不好用，因此正面的虹膜必须保留，这个主打安全的虹膜解锁用起来怎么样呢？

速度一般：从激活屏幕到完成解锁，能感到非常明显的识别过程，和其他对手们指纹识别秒开的体验无法相比。

移动中基本不可用：对，走路时使用虹膜失败率非常高，请做一个安静的美男子。然而作为移动互联网终端的手机，竟然不能移动中解锁，咳。

强光下失败率高：外界光照过强时，失败率较高，相反弱光环境（晚上只在床头柜底下开了小夜灯）下识别率和普通光照下是一样的，只是识别时传感器红灯必然闪一下，黑暗中看着有点突兀。

戴眼镜失败率高：大概是镜片的光线反射干扰了虹膜识别。

当你第一次虹膜解锁失败时，屏幕上半部会跳出前置摄像头的自拍，提醒你调整手机位置，并睁大眼睛——真是要多尴尬有多尴尬，每次我都会怒瞪虹膜传感器，以发泄不满。

当然，虹膜有它独特的优势：不怕你手潮！

很多人喷手指会在找指纹的时候摸到摄像头，导致镜头被手油污染。这一点倒还好，反正我已摸了无数遍——无法想象摸一下就影响拍照的手是有多脏。

要说这指纹唯一的好处，就是支持锁屏下轻触解锁，无需按压，摸对就行——前提是你摸得对。虽然我现在习惯了之后觉得挺爽，但如今任何需要用户刻意练习适应，最后依然无法100%成功的设计，都是垃圾！

人脸

支付宝也在推刷脸支付，我试用了下S8的，速度ok且容错高，用起来比虹膜流畅很多。但大家也知道，人脸识别安全性低，能被一张差不多1:1的照片骗过去，所以还是决定不用。

Smart Lock

如上图，S8 （或者说安卓）提供了3种免解锁方案。在S8 的指纹和虹膜解锁都如此蛋疼的情况下，Smart Lock似乎成了一个值得研究的选择，于是我们在下图逐一看过来：

图1和2是贴身检测，通过传感器识别手机是不是在你口袋里或手里，并保持解锁状态。但是图2的说明足以让你打消使用它的念头……

图3，可信地点，打开后，不说了……

图4，可信设备。感谢苹果在推广智能手表上作出的巨大贡献，现在连捷豹都提供原厂三防手环替代钥匙了。如果是安卓智能表用户，这个功能确实很能解决解锁痛点。把汽车设为可信设备更可以免除驾驶时分心解锁手机的动作，提高行车安全。

但是我又要“但是”了：有效距离100m什么鬼，这个有效距离也太远了吧，瞬间觉得不安全了……

总结：我没有打开Smart Lock……

解锁体验对比图

为了更直观的对比苹果与S8解锁时体验的差异，我做了下面的图表：

可见，S8的虹膜解锁除了安全性能外，解锁步骤被指纹完爆。如果Note8或S9还想延续正面无按键的设计，要么虹膜，要么超声波指纹，这两者至少有一样的技术必须获得突破，否则将会延续S8的尴尬体验。

Samsung Pay

没错，到三丧呸了。在使用苹果呸后，大锤非常喜欢这种无需刻意解锁就实现的支付方式。掏出手机一刷，小额直接免密，相比之下解锁->打开微信/支付宝->找到付款按钮打开二维码->扫码，这么一长串的支付方式简直尴尬好么。

所以老罗在锤子上设计了不同指纹直接激活不同支付方式的微创新，大大改善了非apple pay的支付体验。值得单独列出点赞~

言归正传，samsung pay相比apple pay，最大的突破在于不限于NFC芯片卡，可以替代传统磁条卡支付，只需像刷卡一样掠过磁条槽即可，所以人家有底气说自己是——

然而，我又要然而了，samsung pay的支付流程却有点清奇，瞬间被苹果比了下去，见下图：

上划激活samsung pay（锁屏下亦可）->密码/指纹/虹膜解锁->刷卡支付

没错，它竟然是先输密码后付款！这套逻辑我是不太懂的，起码与apple pay及支付宝/微信支付相反。最重要的是，流畅度被打破，整个动作就好像你掏出皮夹子选出你想刷的卡然后支付一样，apple pay那种机子一靠，手指顺势一摸的方式显然更未来，并提供了更优的用户体验。

快充与无线充

如今还想卖的安卓都上了快充，三星的快充技术相比对手并没有特别之处。但作为从苹果阵营弃明投暗而来的人，大锤真心觉得快充太有用——它将日常碎片化的充电时间效率最大化，随便冲一会就能给你足够安心的电量，不像用苹果时一看还剩30% ，就想着最好能安安静静坐下来充个1小时再出门。

对type-C，大锤同样是第一次接触，却非常失望。它解决了之前USB口不可反插的缺点，但整体手感以及边缘的锐利程度却让人无法安心接插，总觉得会弄坏插头或划伤手机。于是我开始怀念万恶的lightning口了……

至于无线充，我购买时没的送，于是在咸鱼上50块入了台3代立式。有人说100以下的都是华强北，还好有金主拍胸脯说炸了的话他6188原价收尸体，我就坐等到货了~

安卓碎碎念

以下体验主要基于iOS与安卓软件体验的差异，并非S8特有。

1. 支付宝登陆无需解锁，理论上没问题，支付宝的锅。

2. 网易云音乐播放控制器未集成，只能使用小组件，网易的锅。

从左至右，1-网易云音乐音乐播放下，下拉功能栏没有音乐控制模块；2-QQ音乐，有；3-播放音乐下锁屏后激活屏幕，必须多一步划开全屏音乐的操作，这在上面的解锁章节里也提到了。

3. 微信朋友圈回复提醒角标，阅读后退出朋友圈时还会存在一瞬间，不流畅的感觉，微信的锅。

4. 全家桶。这次算是我第一次认真用安卓，安装软件时特别在意权限的审批，但高德、支付宝之类的强势软件依旧是不全家桶就不给用的样子，有点不爽。其他软件我只能说安卓的权限管理很统一，稍微花点心思就不会有问题。

一切都是取舍

撇开Boom7和萨德（好了你们喷我吧，我不在乎）看S8/S8 ，它们无疑是非常出色的安卓旗舰。但当问题转变为要不要买，与iphone 7/7 的对比就不可回避。

很多人说三星各种卡各种慢各种炸，但我的实际使用体验并没有那么不堪。而我4s和6的体验，也是在从“丝般顺滑”向“卡翔”一步步跌落的。即使有滑动时有些微掉帧，或edge区域的触摸判定问题，你仍然不能忽视S8的逆天颜值与工艺带来的快感。那些说颜值不重要看久了就疲劳了的人，你们找男女朋友的时候怎么不用这逻辑来降低自己对外貌的要求呢？颜值是要天天看的好么，低了可不行。

我买S8 的理由很简单，够好看、技术够激进、工艺够精湛。同时作为旗舰，拍照屏幕续航防水这些根本就不可能有短板，选自己喜欢的就行了。

如果你无法承受“不平衡”的代价，不愿意有任何折腾，那么每次购买手机时选择当时的苹果旗舰是最保险的选项。否则，S8、XZP都是值得考虑的非正常选项~

想了解更多相关内容，点击下方“了解更多”，你会收获更多相关优质内容

在哪儿摔倒在哪儿爬起来，黑莓QNX将主宰汽车史上最大屏幕

近日，拜腾宣布与黑莓达成合作，首款量产车型M-Byte将采用黑莓的QNX车载系统。

黑莓将对拜腾量产车型进行有针对性的软件开发，并准许拜腾使用包括QNX SDP 7.0实时操作系统及Hypervisor 2.0在内的相关软件。

除此以外，双方还计划在共享体验屏幕、用户提供车载通信、车载娱乐系统综合性体验等领域进行合作。

朋友的朋友，是朋友。

此番宣布拜腾启用QNX系统，可谓在“意料之中”。

众所周知，拜腾在自动驾驶技术方面的合作伙伴为Aurora，而在CES Asia展会开幕前夕的“拜腾之夜”上，拜腾宣布百度Apollo联合加入自动驾驶领域合作方，以期在自动驾驶和路况识别等细节方面，在中国得以平稳落地，避免水土不服。

而Apollo正是基于QNX系统进行后续开发的。

脱颖而出为哪般

经验丰富：在手机业务全面溃败之时，黑莓早已将赌注押在盈利性更高的软件制造和移动设备管理业务上。其子公司的主业务QNX平台，专注开发高级驾驶辅助和自动驾驶车辆技术。近年来，在与众多的汽车企业形成合作关系，其车载系统业务量呈现出井喷式增长。而对接进入不同品牌中控屏以及驾驶辅助技术的丰富经验，着实比走过“造车弯路”（Project Titan）的苹果，和尚无建树的安卓，更有实践优势。据悉，为了迎头赶上落后的进度，早在2015年苹果公司就曾从QNX设计部挖走超过20名员工。

安全性高：拜腾看中QNX的最主要原因是其技术能够应用在车载存储设备的分区，以及安全关键性系统与非安全关键性系统相隔离等独特属性。据了解，其强大的安全性体现在三个方面：其一，由于设计语言与模式差异QNX对病毒完全免疫；其二，应用程序与操作系统运算空间隔离，既保证速度又保证相互之间不会互相破坏；其三，该系统的密码系统最为严密，其解密难度由于其他竞争对手。

开放性、兼容性强：基于QNX原本的优势属性，在POSIX（可移植操作系统接口）、UNIX（多用户、多任务操作）、CPU、总线及外设方面的强大通用能力，可以说这是目前市场上开放度和兼容性最强的系统，没有之一。作为免费操作系统，虽然在市场占有量上远远落后于微软，但当win7升级win10后的初期阶段，那种种不兼容带来的尴尬，在QNX这里是不存在的，无论怎样迭代与更新，前后都同样使用顺畅。

运行速度快：卡顿？不存在的。与出类拔萃的后台占用控制系统相比，QNX采用“专人专用”的思路，即固定的应用使用固定的CPU部分运行，即便将所有应用同时打开，也跟只开一个应用同样顺畅，想必不用为超大屏幕使用中出现卡顿而感到汗颜，也是拜腾选择QNX的重要因素。

在哪儿摔倒就在哪儿爬起来

曾几何时，如火如荼的手机市场中黑莓显赫一时。

QWERTY全键盘是当时最好的手机打字解决方案，优秀的安全稳定性也成了黑莓口碑的保障；这种全键盘设计甚至被当时手机行业王者诺基亚学走，成就E71和E72等经典。

然而在苹果颠覆，安卓当道之时，放弃物理键盘设计后的大屏幕，逐渐将黑莓“半键半屏”的模式彻底挤出了市场。

输在屏幕小？在哪儿摔倒就要在哪儿爬起来，黑莓QNX将主宰汽车史上最大屏幕。

而在这块大屏幕上，QNX系统 黑莓开发的应用，能不能把超大屏幕物尽其用，我们拭目以待。

互联网史上每次巨变的前夜是什么样子

还是用最近二十年的技术革命引发的社会巨变来回答，比较有代入感。到目前为止亲历的两场技术大变革，第一个是PC 互联网，在外国这是两件事，在中国属于弯道追赶让两件事情一起发生；第二个是移动互联网。

在这种社会因技术推动而发生巨变的前夜，人身在其中，即使能感觉到巨变的气息，但也很难把握到巨变的奇点在何时何地发生，更多的时候是浑浑噩噩随波逐流而无法将巨变中包含的机会与自己的命运联系在一起。

PC 互联网的前夜

其实在之前的回答中（何明科：男生宿舍发生过哪些「惊为天人」的事？）已经提到了清华学生作为中国在知识和技术最前沿的一拨人，已经充分感受到了互联网讲给大家带来的冲击和影响。一方面要感谢校方和国家给予这帮年轻人足够开放的环境和优越的资源，另一方面也要感恩美国人在前方像灯塔一样的指引，当时化云坊追寻的目标就是1995年由两个斯坦福学生创立的雅虎。

随着16#楼连上互联网，卡壳的9#也在数月之后联网成功，清华其他各个宿舍楼也找到了技术灯塔和生活明灯，不甘寂寞纷纷倒腾局域网然后连上互联网，其他高校的跟进也不会差上一两年。而高校学子也把买PC装网络的风潮带回了父母家，至少我和周围不少同学，是这样软磨硬泡让父母完成了假期回家也能上网的愿望。作为社会上对新鲜事物和高科技做敏感的一群人，大学生对PC及互联网的推广功不可没，然后实际上当时家庭和办公室装PC联网，已经逐渐成为一种风潮，HP联想戴尔等大品牌的媒体轰炸以及宽带运营商的各种促销活动，也是推波助澜的主力。即便办公室、宿舍和家里没有联网的PC，大街上的网吧也已经开始如雨后春笋般冒头。话说网吧才是共享经济的鼻祖，可惜早生了20年，否则不会沦落到按照PE估值的悲惨地步。

而印象最深刻的是1999年休完暑假回到学校宿舍，一进楼道就听到了“漫山遍野”的蛐蛐叫，还没放下行李，就被室友逼着注册一个叫做OICQ的软件，而它是QQ的前身。免费看腾讯爱奇艺VIP电影：www.avipplayer

即便被美国这样的科技灯塔在前方指引以及设身处地得感受互联网大潮的来袭，大部分人仍然是浑然其中，很少人将自己的命运及未来与大势联系在一起而顺势而为。典型的例子就是找工作和准备技能，大部分人依旧奔着当时最热门的各类外企或者咨询投行而去（比如我自己本是一个不错的程序员，羡慕咨询的各种光鲜，毕业后就加入咨询），因此有人放弃腾讯而选择了诺基亚，因此有明星员工不肯离开电信反而让位给其他更普通的电信员工以机会加入腾讯……而即使早期加入这些互联网公司的远见者，很多也是迫不得已。记得听一个斯坦福商学院的校友分享，他在毕业后没有拿到任何一家基金、投行和咨询公司的offer，而这些都是MBA最渴望加入的行业，正当暗自神伤时收到了学校旁边一家名叫Google的小公司的邀请，迫不得已加入成为早期员工并后来成为公司最主要的几个骨干之一。当然，更少人能不仅仅是顺势而为而是在浪潮扑腾搞出更大的浪花，这种人一般是伟大的创业者。

然而从今天的眼光来看，一切显得那么自然，却又找不到奇点出现的半点痕迹。

移动互联网的前夜

当2007年iPhone上市大卖，拥趸无数，然而即使是粉丝，一开始更多的是为iPhone的外形及炫酷的交互所征服，没人想到这是移动互联网的开始以及将以摧枯拉朽之势颠覆诺基亚。此时Nokia E71系列也是当红炸子鸡，另外还有被职场精英们念念不忘的黑莓。

2010年前后，和两个互联网公司的创始人A与B喝酒聊天，A的公司当时只有PC端的网站和手机WAP站点，准备开发App，但是他一反常态，准备放弃当时占手机主流的Symbian，而只开发iOS和Android版本。而B的公司当时已经有了不错的在Symbian上的手机客户端产品，并且在技术上有一定壁垒，还获得了中国移动的官方推荐和认可。B嘲笑A太前卫，Nokia虽然在衰落但百足之虫死而不僵，仍有几年的窗口期，而他自己仍然准备聚焦在多个版本并立的Symbian中继续寻找机会，并加深和中国移动的各项合作。后面的大趋势也不可逆转，诺基亚以超过人类想象的速度衰亡，而中国移动因为数据业务和增值业务的各种问题不断整顿，给生态链中的合作方带来无数的痛苦和欠账。A成功带领公司上市并成为一方大佬，B在当时的公司失败后又开始第二次创业。

关于这样的创业者故事还有很多，那时候App还只叫手机客户端，最热门的有UC、大头、Pinco和PICA等等。回头看，大家在Symbian时代苦熬了这么多年都趋近于零，到了iOS和Android代表的移动互联网时代才有新机会，然而能熬到新时代的几乎只有UC。如同上面提到的B，其他的创业者大都是转型慢了或者没有熬过漫长而黑暗的功能手机的中世纪。

下图是手机大头的Logo及主交互界面，那个时候的手机大头同样是以聚合各类新闻、内容以及各类功能作为主打卖点，活脱脱的一个移动OS架构。大头后来应该也没有什么后来了。

下图是基于Symbian的PICA，主打聊天。PICA还好，最终被中软国际收购。不过多年后遇到其CEO，感叹道：我们当年的梦想就是要做5年后微信要做的事情，只是时间点不对。

那时候其实不少人已经认识到移动互联网将引领新时代，但是如同PC互联的时代一样，真正能践行之并将自己的命运和未来与新时代结合的人少之又少，即使是最有眼光和嗅觉的投资人。那个时候已经有不少投资人对内对外号称要在移动互联网下重注，并且奔波于各类高峰论坛，然而他们还固执地使用Nokia E71/E72或者Blackberry，并坚信iPhone或者GPhone无法达到手中神机的方便程度。

而知行合一最坚决的基金恐怕是经纬，扫街战术一般得盯住App Store和各类Market，卡住每个应用细分领域把领头羊App基本都投了一遍。

至于后来发生的移动电子商务以及移动支付，感觉就像做梦一样，瞬间就发生了，好像断片儿清醒的那一刻。大家在2014年春节还嘲笑滴滴快的当傻瓜送钱然后拼命薅羊毛，数月之后大街小巷的商铺都在开始使用二维码付款了，而到了2015年，连街边的煎饼果子店和水果卡车都开始可以使用二维码支付。再后来就是各种上门服务、外卖、单车共享……生活似乎真的可以不出门就可以生活，而出门就只要带手机和钥匙足以。

回顾这两个时代，新技术引发的社会巨变，将以更快的速度发生而让人更难以察觉。一来是因为技术和产品的传播速度远胜于之前，二来从移动互联网时代开始，中国在许多方面已经和美国并驾齐驱甚至是引领整个世界（比如：移动支付、O2O和各种真伪共享经济），我们在前面已经看不到领跑者。即使我们察觉到了，对我们大多数凡夫俗子而言也是然并卵，因为总缺乏那个敏感度和勇气把巨变的进程以及其中的机会与自己的未来结合在一起，更多的时候只是生活在梦中，醒来一看世界已经变了，而自己什么都没做，甚至连点点按钮就能完成的股票都没有买。

TCPdump网络抓包工具超详细教程

tcpdump 是一款强大的网络抓包工具，它使用 libpcap 库来抓取网络数据包，这个库在几乎在所有的 Linux/Unix 中都有。熟悉 tcpdump 的使用能够帮助你分析调试网络数据，本文将通过一个个具体的示例来介绍它在不同场景下的使用方法。不管你是系统管理员，程序员，云原生工程师还是 yaml 工程师，掌握 tcpdump 的使用都能让你如虎添翼，升职加薪。

1. 基本语法和使用方法

tcpdump 的常用参数如下：

$ tcpdump -i eth0 -nn -s0 -v port 80

-i : 选择要捕获的接口，通常是以太网卡或无线网卡，也可以是 VLAN 或其他特殊接口。如果该系统上只有一个网络接口，则无需指定。

-nn : 单个 n 表示不解析域名，直接显示 IP；两个 n 表示不解析域名和端口。这样不仅方便查看 IP 和端口号，而且在抓取大量数据时非常高效，因为域名解析会降低抓取速度。

-s0 : tcpdump 默认只会截取前 96 字节的内容，要想截取所有的报文内容，可以使用 -s number， number 就是你要截取的报文字节数，如果是 0 的话，表示截取报文全部内容。

-v : 使用 -v，-vv 和 -vvv 来显示更多的详细信息，通常会显示更多与特定协议相关的信息。

port 80 : 这是一个常见的端口过滤器，表示仅抓取 80 端口上的流量，通常是 HTTP。

额外再介绍几个常用参数：

-p : 不让网络接口进入混杂模式。默认情况下使用 tcpdump 抓包时，会让网络接口进入混杂模式。一般计算机网卡都工作在非混杂模式下，此时网卡只接受来自网络端口的目的地址指向自己的数据。当网卡工作在混杂模式下时，网卡将来自接口的所有数据都捕获并交给相应的驱动程序。如果设备接入的交换机开启了混杂模式，使用 -p 选项可以有效地过滤噪声。

-e : 显示数据链路层信息。默认情况下 tcpdump 不会显示数据链路层信息，使用 -e 选项可以显示源和目的 MAC 地址，以及 VLAN tag 信息。例如：

$ tcpdump -n -e -c 5 not ip6

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on br-lan, link-type EN10MB (Ethernet), capture size 262144 bytes 18:27:53.619865 24:5e:be:0c:17:af > 00:e2:69:23:d3:3b, ethertype IPv4 (0x0800), length 1162: 192.168.100.20.51410 > 180.176.26.193.58695: Flags [.], seq 2045333376:2045334484, ack 3398690514, win 751, length 1108 18:27:53.626490 00:e2:69:23:d3:3b > 24:5e:be:0c:17:af, ethertype IPv4 (0x0800), length 68: 220.173.179.66.36017 > 192.168.100.20.51410: UDP, length 26 18:27:53.626893 24:5e:be:0c:17:af > 00:e2:69:23:d3:3b, ethertype IPv4 (0x0800), length 1444: 192.168.100.20.51410 > 220.173.179.66.36017: UDP, length 1402 18:27:53.628837 00:e2:69:23:d3:3b > 24:5e:be:0c:17:af, ethertype IPv4 (0x0800), length 1324: 46.97.169.182.6881 > 192.168.100.20.59145: Flags [P.], seq 3058450381:3058451651, ack 14349180, win 502, length 1270 18:27:53.629096 24:5e:be:0c:17:af > 00:e2:69:23:d3:3b, ethertype IPv4 (0x0800), length 54: 192.168.100.20.59145 > 192.168.100.1.12345: Flags [.], ack 3058451651, win 6350, length 0 5 packets captured

显示 ASCII 字符串

-A 表示使用 ASCII 字符串打印报文的全部数据，这样可以使读取更加简单，方便使用 grep 等工具解析输出内容。-X 表示同时使用十六进制和 ASCII 字符串打印报文的全部数据。这两个参数不能一起使用。例如：

$ tcpdump -A -s0 port 80

抓取特定协议的数据

后面可以跟上协议名称来过滤特定协议的流量，以 UDP 为例，可以加上参数 udp 或 protocol 17，这两个命令意思相同。

$ tcpdump -i eth0 udp $ tcpdump -i eth0 proto 17

同理，tcp 与 protocol 6 意思相同。

抓取特定主机的数据

使用过滤器 host 可以抓取特定目的地和源 IP 地址的流量。

$ tcpdump -i eth0 host 10.10.1.1

也可以使用 src 或 dst 只抓取源或目的地：

$ tcpdump -i eth0 dst 10.10.1.20

将抓取的数据写入文件

使用 tcpdump 截取数据报文的时候，默认会打印到屏幕的默认输出，你会看到按照顺序和格式，很多的数据一行行快速闪过，根本来不及看清楚所有的内容。不过，tcpdump 提供了把截取的数据保存到文件的功能，以便后面使用其他图形工具（比如 wireshark，Snort）来分析。
-w 选项用来把数据报文输出到文件：

$ tcpdump -i eth0 -s0 -w test.pcap

行缓冲模式
如果想实时将抓取到的数据通过管道传递给其他工具来处理，需要使用 -l 选项来开启行缓冲模式（或使用 -c 选项来开启数据包缓冲模式）。使用 -l 选项可以将输出通过立即发送给其他命令，其他命令会立即响应。

$ tcpdump -i eth0 -s0 -l port 80 | grep 'Server:'

组合过滤器
过滤的真正强大之处在于你可以随意组合它们，而连接它们的逻辑就是常用的 与/AND/&& 、 或/OR/|| 和 非/not/!。

and or && or or || not or !

2. 过滤器

关于 tcpdump 的过滤器，这里有必要单独介绍一下。

机器上的网络报文数量异常的多，很多时候我们只关系和具体问题有关的数据报（比如访问某个网站的数据，或者 icmp 超时的报文等等），而这些数据只占到很小的一部分。把所有的数据截取下来，从里面找到想要的信息无疑是一件很费时费力的工作。而 tcpdump 提供了灵活的语法可以精确地截取关心的数据报，简化分析的工作量。这些选择数据包的语句就是过滤器（filter）！

Host 过滤器

Host 过滤器用来过滤某个主机的数据报文。例如：

$ tcpdump host 1.2.3.4

该命令会抓取所有发往主机 1.2.3.4 或者从主机 1.2.3.4 发出的流量。如果想只抓取从该主机发出的流量，可以使用下面的命令：

$ tcpdump src host 1.2.3.4

Network 过滤器

Network 过滤器用来过滤某个网段的数据，使用的是 CIDR 模式。可以使用四元组（x.x.x.x）、三元组（x.x.x）、二元组（x.x）和一元组（x）。四元组就是指定某个主机，三元组表示子网掩码为 255.255.255.0，二元组表示子网掩码为 255.255.0.0，一元组表示子网掩码为 255.0.0.0。例如，
抓取所有发往网段 192.168.1.x 或从网段 192.168.1.x 发出的流量：

$ tcpdump net 192.168.1

抓取所有发往网段 10.x.x.x 或从网段 10.x.x.x 发出的流量：

$ tcpdump net 10

和 Host 过滤器一样，这里也可以指定源和目的：

$ tcpdump src net 10

也可以使用 CIDR 格式：

$ tcpdump src net 172.16.0.0/12

Proto 过滤器

Proto 过滤器用来过滤某个协议的数据，关键字为 proto，可省略。proto 后面可以跟上协议号或协议名称，支持 icmp, igmp, igrp, pim, ah, esp, carp, vrrp, udp和 tcp。因为通常的协议名称是保留字段，所以在于 proto 指令一起使用时，必须根据 shell 类型使用一个或两个反斜杠（/）来转义。Linux 中的 shell 需要使用两个反斜杠来转义，MacOS 只需要一个。

例如，抓取 icmp 协议的报文：

$ tcpdump -n proto icmp

或者

$ tcpdump -n icmp

Port 过滤器

Port 过滤器用来过滤通过某个端口的数据报文，关键字为 port。例如：

$ tcpdump port 389

3. 理解 tcpdump 的输出

截取数据只是第一步，第二步就是理解这些数据，下面就解释一下 tcpdump 命令输出各部分的意义。

21:27:06.995846 IP (tos 0x0, ttl 64, id 45646, offset 0, flags [DF], proto TCP (6), length 64) 192.168.1.106.56166 > 124.192.132.54.80: Flags [S], cksum 0xa730 (correct), seq 992042666, win 65535, options [mss 1460,nop,wscale 4,nop,nop,TS val 663433143 ecr 0,sackOK,eol], length 0 21:27:07.030487 IP (tos 0x0, ttl 51, id 0, offset 0, flags [DF], proto TCP (6), length 44) 124.192.132.54.80 > 192.168.1.106.56166: Flags [S.], cksum 0xedc0 (correct), seq 2147006684, ack 992042667, win 14600, options [mss 1440], length 0 21:27:07.030527 IP (tos 0x0, ttl 64, id 59119, offset 0, flags [DF], proto TCP (6), length 40) 192.168.1.106.56166 > 124.192.132.54.80: Flags [.], cksum 0x3e72 (correct), ack 2147006685, win 65535, length 0

最基本也是最重要的信息就是数据报的源地址/端口和目的地址/端口，上面的例子第一条数据报中，源地址 ip 是 192.168.1.106，源端口是 56166，目的地址是 124.192.132.54，目的端口是 80。 > 符号代表数据的方向。

此外，上面的三条数据还是 tcp 协议的三次握手过程，第一条就是 SYN 报文，这个可以通过 Flags [S] 看出。下面是常见的 TCP 报文的 Flags:

[S] : SYN（开始连接）

[.] : 没有 Flag

[P] : PSH（推送数据）

[F] : FIN （结束连接）

[R] : RST（重置连接）

而第二条数据的 [S.] 表示 SYN-ACK，就是 SYN 报文的应答报文。

4. 例子

下面给出一些具体的例子，每个例子都可以使用多种方法来获得相同的输出，你使用的方法取决于所需的输出和网络上的流量。我们在排障时，通常只想获取自己想要的内容，可以通过过滤器和 ASCII 输出并结合管道与 grep、cut、awk 等工具来实现此目的。

例如，在抓取 HTTP 请求和响应数据包时，可以通过删除标志 SYN/ACK/FIN 来过滤噪声，但还有更简单的方法，那就是通过管道传递给 grep。在达到目的的同时，我们要选择最简单最高效的方法。下面来看例子。

提取 HTTP 用户代理

从 HTTP 请求头中提取 HTTP 用户代理：

$ tcpdump -nn -A -s1500 -l | grep "User-Agent:"

通过 egrep 可以同时提取用户代理和主机名（或其他头文件）：

$ tcpdump -nn -A -s1500 -l | egrep -i 'User-Agent:|Host:'

只抓取 HTTP GET 和 POST 流量

抓取 HTTP GET 流量：

$ tcpdump -s 0 -A -vv 'tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420'

也可以抓取 HTTP POST 请求流量：

$ tcpdump -s 0 -A -vv 'tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x504f5354'

注意：该方法不能保证抓取到 HTTP POST 有效数据流量，因为一个 POST 请求会被分割为多个 TCP 数据包。

上述两个表达式中的十六进制将会与 GET 和 POST 请求的 ASCII 字符串匹配。例如，tcp[((tcp[12:1] & 0xf0) >> 2):4] 首先会确定我们感兴趣的字节的位置（在 TCP header 之后），然后选择我们希望匹配的 4 个字节。
提取 HTTP 请求的 URL

提取 HTTP 请求的主机名和路径：

$ tcpdump -s 0 -v -n -l | egrep -i "POST /|GET /|Host:" tcpdump: listening on enp7s0, link-type EN10MB (Ethernet), capture size 262144 bytes POST /wp-login.php HTTP/1.1 Host: dev.example.com GET /wp-login.php HTTP/1.1 Host: dev.example.com GET /favicon.ico HTTP/1.1 Host: dev.example.com GET / HTTP/1.1 Host: dev.example.com

提取 HTTP POST 请求中的密码

从 HTTP POST 请求中提取密码和主机名：

$ tcpdump -s 0 -A -n -l | egrep -i "POST /|pwd=|passwd=|password=|Host:" tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on enp7s0, link-type EN10MB (Ethernet), capture size 262144 bytes 11:25:54.799014 IP 10.10.1.30.39224 > 10.10.1.125.80: Flags [P.], seq 1458768667:1458770008, ack 2440130792, win 704, options [nop,nop,TS val 461552632 ecr 208900561], length 1341: HTTP: POST /wp-login.php HTTP/1.1 .....s..POST /wp-login.php HTTP/1.1 Host: dev.example.com .....s..log=admin&pwd=notmypassword&wp-submit=Log In&redirect_to=http://dev.example.com/wp-admin/&testcookie=1

提取 Cookies

提取 Set-Cookie（服务端的 Cookie）和 Cookie（客户端的 Cookie）：

$ tcpdump -nn -A -s0 -l | egrep -i 'Set-Cookie|Host:|Cookie:' tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on wlp58s0, link-type EN10MB (Ethernet), capture size 262144 bytes Host: dev.example.com Cookie: wordpress_86be02xxxxxxxxxxxxxxxxxxxc43=admin|152xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxfb3e15c744fdd6; _ga=GA1.2.21343434343421934; _gid=GA1.2.927343434349426; wordpress_test_cookie=WP Cookie check; wordpress_logged_in_86be654654645645645654645653fc43=admin|15275102testtesttesttestab7a61e; wp-settings-time-1=1527337439

抓取 ICMP 数据包

查看网络上的所有 ICMP 数据包：

$ tcpdump -n icmp tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on enp7s0, link-type EN10MB (Ethernet), capture size 262144 bytes 11:34:21.590380 IP 10.10.1.217 > 10.10.1.30: ICMP echo request, id 27948, seq 1, length 64 11:34:21.590434 IP 10.10.1.30 > 10.10.1.217: ICMP echo reply, id 27948, seq 1, length 64 11:34:27.680307 IP 10.10.1.159 > 10.10.1.1: ICMP 10.10.1.189 udp port 59619 unreachable, length 115

抓取非 ECHO/REPLY 类型的 ICMP 数据包

通过排除 echo 和 reply 类型的数据包使抓取到的数据包不包括标准的 ping 包：

$ tcpdump 'icmp[icmptype] != icmp-echo and icmp[icmptype] != icmp-echoreply' tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on enp7s0, link-type EN10MB (Ethernet), capture size 262144 bytes 11:37:04.041037 IP 10.10.1.189 > 10.10.1.20: ICMP 10.10.1.189 udp port 36078 unreachable, length 156

抓取 SMTP/POP3 协议的邮件

可以提取电子邮件的正文和其他数据。例如，只提取电子邮件的收件人：

$ tcpdump -nn -l port 25 | grep -i 'MAIL FROM|RCPT TO‘

抓取 NTP 服务的查询和响应

$ tcpdump dst port 123 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes 21:02:19.112502 IP test33.ntp > 199.30.140.74.ntp: NTPv4, Client, length 48 21:02:19.113888 IP 216.239.35.0.ntp > test33.ntp: NTPv4, Server, length 48 21:02:20.150347 IP test33.ntp > 216.239.35.0.ntp: NTPv4, Client, length 48 21:02:20.150991 IP 216.239.35.0.ntp > test33.ntp: NTPv4, Server, length 48

抓取 SNMP 服务的查询和响应

通过 SNMP 服务，渗透测试人员可以获取大量的设备和系统信息。在这些信息中，系统信息最为关键，如操作系统版本、内核版本等。使用 SNMP 协议快速扫描程序 onesixtyone，可以看到目标系统的信息：

$ onesixtyone 10.10.1.10 public Scanning 1 hosts, 1 communities 10.10.1.10 [public] Linux test33 4.15.0-20-generic #21-Ubuntu SMP Tue Apr 24 06:16:15 UTC 2018 x86_64

可以通过 tcpdump 抓取 GetRequest 和 GetResponse：

$ tcpdump -n -s0 port 161 and udp tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on wlp58s0, link-type EN10MB (Ethernet), capture size 262144 bytes 23:39:13.725522 IP 10.10.1.159.36826 > 10.10.1.20.161: GetRequest(28) .1.3.6.1.2.1.1.1.0 23:39:13.728789 IP 10.10.1.20.161 > 10.10.1.159.36826: GetResponse(109) .1.3.6.1.2.1.1.1.0="Linux testmachine 4.15.0-20-generic #21-Ubuntu SMP Tue Apr 24 06:16:15 UTC 2018 x86_64"

切割 pcap 文件

当抓取大量数据并写入文件时，可以自动切割为多个大小相同的文件。例如，下面的命令表示每 3600 秒创建一个新文件 capture-(hour).pcap，每个文件大小不超过 200*1000000 字节：

$ tcpdump -w /tmp/capture-%H.pcap -G 3600 -C 200

这些文件的命名为 capture-{1-24}.pcap，24 小时之后，之前的文件就会被覆盖。

抓取 IPv6 流量

可以通过过滤器 ip6 来抓取 IPv6 流量，同时可以指定协议如 TCP：

$ tcpdump -nn ip6 proto 6

从之前保存的文件中读取 IPv6 UDP 数据报文：

$ tcpdump -nr ipv6-test.pcap ip6 proto 17

检测端口扫描

在下面的例子中，你会发现抓取到的报文的源和目的一直不变，且带有标志位 [S] 和 [R]，它们与一系列看似随机的目标端口进行匹配。当发送 SYN 之后，如果目标主机的端口没有打开，就会返回一个 RESET。这是 Nmap 等端口扫描工具的标准做法。

$ tcpdump -nn 21:46:19.693601 IP 10.10.1.10.60460 > 10.10.1.199.5432: Flags [S], seq 116466344, win 29200, options [mss 1460,sackOK,TS val 3547090332 ecr 0,nop,wscale 7], length 0 21:46:19.693626 IP 10.10.1.10.35470 > 10.10.1.199.513: Flags [S], seq 3400074709, win 29200, options [mss 1460,sackOK,TS val 3547090332 ecr 0,nop,wscale 7], length 0 21:46:19.693762 IP 10.10.1.10.44244 > 10.10.1.199.389: Flags [S], seq 2214070267, win 29200, options [mss 1460,sackOK,TS val 3547090333 ecr 0,nop,wscale 7], length 0 21:46:19.693772 IP 10.10.1.199.389 > 10.10.1.10.44244: Flags [R.], seq 0, ack 2214070268, win 0, length 0 21:46:19.693783 IP 10.10.1.10.35172 > 10.10.1.199.1433: Flags [S], seq 2358257571, win 29200, options [mss 1460,sackOK,TS val 3547090333 ecr 0,nop,wscale 7], length 0 21:46:19.693826 IP 10.10.1.10.33022 > 10.10.1.199.49153: Flags [S], seq 2406028551, win 29200, options [mss 1460,sackOK,TS val 3547090333 ecr 0,nop,wscale 7], length 0 21:46:19.695567 IP 10.10.1.10.55130 > 10.10.1.199.49154: Flags [S], seq 3230403372, win 29200, options [mss 1460,sackOK,TS val 3547090334 ecr 0,nop,wscale 7], length 0 21:46:19.695590 IP 10.10.1.199.49154 > 10.10.1.10.55130: Flags [R.], seq 0, ack 3230403373, win 0, length 0 21:46:19.695608 IP 10.10.1.10.33460 > 10.10.1.199.49152: Flags [S], seq 3289070068, win 29200, options [mss 1460,sackOK,TS val 3547090335 ecr 0,nop,wscale 7], length 0 21:46:19.695622 IP 10.10.1.199.49152 > 10.10.1.10.33460: Flags [R.], seq 0, ack 3289070069, win 0, length 0 21:46:19.695637 IP 10.10.1.10.34940 > 10.10.1.199.1029: Flags [S], seq 140319147, win 29200, options [mss 1460,sackOK,TS val 3547090335 ecr 0,nop,wscale 7], length 0 21:46:19.695650 IP 10.10.1.199.1029 > 10.10.1.10.34940: Flags [R.], seq 0, ack 140319148, win 0, length 0 21:46:19.695664 IP 10.10.1.10.45648 > 10.10.1.199.5060: Flags [S], seq 2203629201, win 29200, options [mss 1460,sackOK,TS val 3547090335 ecr 0,nop,wscale 7], length 0 21:46:19.695775 IP 10.10.1.10.49028 > 10.10.1.199.2000: Flags [S], seq 635990431, win 29200, options [mss 1460,sackOK,TS val 3547090335 ecr 0,nop,wscale 7], length 0 21:46:19.695790 IP 10.10.1.199.2000 > 10.10.1.10.49028: Flags [R.], seq 0, ack 635990432, win 0, length 0

过滤 Nmap NSE 脚本测试结果

本例中 Nmap NSE 测试脚本 http-enum.nse 用来检测 HTTP 服务的合法 URL。

在执行脚本测试的主机上：

$ nmap -p 80 --script=http-enum.nse targetip

在目标主机上：

$ tcpdump -nn port 80 | grep "GET /" GET /w3perl/ HTTP/1.1 GET /w-agora/ HTTP/1.1 GET /way-board/ HTTP/1.1 GET /web800fo/ HTTP/1.1 GET /webaccess/ HTTP/1.1 GET /webadmin/ HTTP/1.1 GET /webAdmin/ HTTP/1.1

抓取 DNS 请求和响应

向 Google 公共 DNS 发起的出站 DNS 请求和 A 记录响应可以通过 tcpdump 抓取到：

$ tcpdump -i wlp58s0 -s0 port 53 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on wlp58s0, link-type EN10MB (Ethernet), capture size 262144 bytes 14:19:06.879799 IP test.53852 > google-public-dns-a.google.com.domain: 26977 [1au] A? play.google.com. (44) 14:19:07.022618 IP google-public-dns-a.google.com.domain > test.53852: 26977 1/0/1 A 216.58.203.110 (60)

抓取 HTTP 有效数据包

抓取 80 端口的 HTTP 有效数据包，排除 TCP 连接建立过程的数据包（SYN / FIN / ACK）：

$ tcpdump 'tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)'

将输出内容重定向到 Wireshark

通常 Wireshark（或 tshark）比 tcpdump 更容易分析应用层协议。一般的做法是在远程服务器上先使用 tcpdump 抓取数据并写入文件，然后再将文件拷贝到本地工作站上用 Wireshark 分析。

还有一种更高效的方法，可以通过 ssh 连接将抓取到的数据实时发送给 Wireshark 进行分析。以 MacOS 系统为例，可以通过 brew cask install wireshark 来安装，然后通过下面的命令来分析：

$ ssh root@remotesystem 'tcpdump -s0 -c 1000 -nn -w - not port 22' | /Applications/Wireshark.app/Contents/MacOS/Wireshark -k -i

例如，如果想分析 DNS 协议，可以使用下面的命令：

$ ssh root@remotesystem 'tcpdump -s0 -c 1000 -nn -w - port 53' | /Applications/Wireshark.app/Contents/MacOS/Wireshark -k -i

抓取到的数据：

-c 选项用来限制抓取数据的大小。如果不限制大小，就只能通过 ctrl-c 来停止抓取，这样一来不仅关闭了 tcpdump，也关闭了 wireshark。

找出发包最多的 IP

找出一段时间内发包最多的 IP，或者从一堆报文中找出发包最多的 IP，可以使用下面的命令：

$ tcpdump -nnn -t -c 200 | cut -f 1,2,3,4 -d '.' | sort | uniq -c | sort -nr | head -n 20 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on enp7s0, link-type EN10MB (Ethernet), capture size 262144 bytes 200 packets captured 261 packets received by filter 0 packets dropped by kernel 108 IP 10.10.211.181 91 IP 10.10.1.30 1 IP 10.10.1.50

cut -f 1,2,3,4 -d ‘.’ : 以 . 为分隔符，打印出每行的前四列。即 IP 地址。

sort | uniq -c : 排序并计数

sort -nr : 按照数值大小逆向排序

抓取用户名和密码

本例将重点放在标准纯文本协议上，过滤出于用户名和密码相关的报文：

$ tcpdump port http or port ftp or port smtp or port imap or port pop3 or port telnet -l -A | egrep -i -B5 'pass=|pwd=|log=|login=|user=|username=|pw=|passw=|passwd=|password=|pass:|user:|username:|password:|login:|pass |user '

抓取 DHCP 报文

最后一个例子，抓取 DHCP 服务的请求和响应报文，67 为 DHCP 端口，68 为客户机端口。

$ tcpdump -v -n port 67 or 68 tcpdump: listening on enp7s0, link-type EN10MB (Ethernet), capture size 262144 bytes 14:37:50.059662 IP (tos 0x10, ttl 128, id 0, offset 0, flags [none], proto UDP (17), length 328) 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from 00:0c:xx:xx:xx:d5, length 300, xid 0xc9779c2a, Flags [none] Client-Ethernet-Address 00:0c:xx:xx:xx:d5 Vendor-rfc1048 Extensions Magic Cookie 0x63825363 DHCP-Message Option 53, length 1: Request Requested-IP Option 50, length 4: 10.10.1.163 Hostname Option 12, length 14: "test-ubuntu" Parameter-Request Option 55, length 16: Subnet-Mask, BR, Time-Zone, Default-Gateway Domain-Name, Domain-Name-Server, Option 119, Hostname Netbios-Name-Server, Netbios-Scope, MTU, Classless-Static-Route NTP, Classless-Static-Route-Microsoft, Static-Route, Option 252 14:37:50.059667 IP (tos 0x10, ttl 128, id 0, offset 0, flags [none], proto UDP (17), length 328) 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from 00:0c:xx:xx:xx:d5, length 300, xid 0xc9779c2a, Flags [none] Client-Ethernet-Address 00:0c:xx:xx:xx:d5 Vendor-rfc1048 Extensions Magic Cookie 0x63825363 DHCP-Message Option 53, length 1: Request Requested-IP Option 50, length 4: 10.10.1.163 Hostname Option 12, length 14: "test-ubuntu" Parameter-Request Option 55, length 16: Subnet-Mask, BR, Time-Zone, Default-Gateway Domain-Name, Domain-Name-Server, Option 119, Hostname Netbios-Name-Server, Netbios-Scope, MTU, Classless-Static-Route NTP, Classless-Static-Route-Microsoft, Static-Route, Option 252 14:37:50.060780 IP (tos 0x0, ttl 64, id 53564, offset 0, flags [none], proto UDP (17), length 339) 10.10.1.1.67 > 10.10.1.163.68: BOOTP/DHCP, Reply, length 311, xid 0xc9779c2a, Flags [none] Your-IP 10.10.1.163 Server-IP 10.10.1.1 Client-Ethernet-Address 00:0c:xx:xx:xx:d5 Vendor-rfc1048 Extensions Magic Cookie 0x63825363 DHCP-Message Option 53, length 1: ACK Server-ID Option 54, length 4: 10.10.1.1 Lease-Time Option 51, length 4: 86400 RN Option 58, length 4: 43200 RB Option 59, length 4: 75600 Subnet-Mask Option 1, length 4: 255.255.255.0 BR Option 28, length 4: 10.10.1.255 Domain-Name-Server Option 6, length 4: 10.10.1.1 Hostname Option 12, length 14: "test-ubuntu" T252 Option 252, length 1: 10 Default-Gateway Option 3, length 4: 10.10.1.1

5. 总结

本文主要介绍了 tcpdump 的基本语法和使用方法，并通过一些示例来展示它强大的过滤功能。将 tcpdump 与 wireshark 进行组合可以发挥更强大的功效，本文也展示了如何优雅顺滑地结合 tcpdump 和 wireshark。如果你想了解更多的细节，可以查看 tcpdump 的 man 手册。