tcpdump中文手册

tcpdump中文手册（共5篇）

篇1：tcpdump中文手册

CAMPUS ART 指导手册

A，需要的材料清单 B，步骤及时间安排

A－1 CAMPUS FRANCE面签材料

学生需要向法国教育服务中心提供的预签证程序材料(除特别注明,请提供复印件)

所有的学生： 1，身份证(必须提供)2，护照

3，法国大学的专业预注册证明

4，法国学校的语言预注册证明（如果有）

如果您是中国大学的在读生或者您已经中断了您的大学学业： 9，正式有效的高考成绩证明(由招生 办或录取大学开据)内容中需注明姓名、考号(考生号)或准考证号 10，中国大学的录取通知书 11，大学各学期的成绩单

12，正式有效的在读证明或者学业中断 证明

13，教育部学位与研究生教育发展中心 出具的在读证明认证报告或者大学课程学习成绩单认证报告(英文版）14，有效的法语水平测试成绩证明(如还未考试,提供准考证即可)请注意:TEF或e-tef成绩的有效期是1年,TCF成绩 的有效期是2年。

已经毕业的学生： 5，大学毕业证书 6，大学学位证书

教育部学位与研究生教育发展中心 出具的学位证书认证报告(英文版)

7，正式有效的高考成绩证明(由招生 办或录取大学开据),内容中需注 明姓名、考号(考生号)或准考证号 8，7－8教育部学位与研究生教育发展中心出具的高考成绩认证报告(英文版)注：只在您的大学毕业证书不受教育部承认的情况下,您需提供此证明

附：

法国教育服务中心广州：(020)83805841

教育部学位认证中心网址：http://cqv.chinadegrees.cn/cn/ 单位名称：教育部学位与研究生教育发展中心 认证处

通信地址：北京市海淀区王庄路1号清华同方科技广场B座17层 邮政编码：100083 客服电话：010-82379480 客服邮箱：zxb@cdgdc.edu.cn

工作时间：周一至周五上午8:00-12:00，下午13:30-17:00

A－2 递签材料

1.两张冲洗近照 3.5 cm x 4.5 cm白底彩色近照（近6个月内）。2.长期签证申请表原件

3.OFII申请表

4.护照原件 因私护照或其他有效旅行证件，有效期需超过所申请签证有效期十五个月，并且至少有两页供使用的签证空白页。

护照复印件，护照前五页（带内容的备注页），以及所有带签证或盖章的签证页。6.身份证原件，复印件，翻译件

8.出生公证书原件（内含翻译），复印件

9.最近的毕业证原件，复印件，翻译件

10.父母或担保人的存折或存款证明原件

父母或担保人的不低于存额为4300欧元或5万人民币左右（不含学费）的存折或存款证明原件，更多信息。父母或担保人的存折或存款证明复印件

11.父亲近六个月以来的银行记录原件更多信息，复印件，翻译件

12.母亲近六个月以来的银行记录原件更多信息，复印件，翻译件

13.法国学校注册证明复印件

14.法国住宿证明复印件

法国教育服务中心的面试证明原件

对于中国籍申请者，户口本所有非空白页复印件+英文或法文翻译件（已取消）

如由父母承担费用：由父母签字的学生赴法留学期间费用担保书及父母资金证明（6个月以上的工资的银行帐户记录）（已取消）

中智法签网址：https://cn.tlscontact.com/cn2fr/login.php?l=zh_CN 电话：(020)6113 2867

法国大使馆总机：（020）28292000 签证处：（020）28292061

A－3 需要公证及翻译的材料

1.身份证＃

2.大学毕业证书＊

3.大学学位证书＊

4.大学成绩单＊

5.出生证明＊

6.高考成绩证明＊

7.高中毕业证 ＊ 8.大学录取通知书＊

9.父母银行流水记录＃

10.户口薄（2011年已取消）

11.父母担保书（2011年已取消）

12.收入说明（2011年已取消）13.个人简历＃

14.学习计划＃

15.动机信＃

注：如上清单针对在读学生，请已毕业学生参考A-1列表更改少许。

＊为公证，公证件上有翻译 ＃为自己翻译，不需要公证

A－3 CAMPUS ART要求邮寄材料清单

1, F&Q电子资料的打印版本（每页都需要签名）2, Campus Art 的协议（每页都需要签名）3, 你的学习计划或者动机信（每页都需要签名）4, 你的研究计划或者你的CV（每页都需要签名）5，2封推荐信（在信封背面有推荐人的签名）

6，你的符合你提供的电子资料的正式官方文件（在读证明认证，高考成绩公证，高中毕业证公证，大学录取通知书公证）

注：只邮寄公证件法语页的复印件

7，你的成绩单原件（中文）和你的翻译成法语后的成绩单公证件 8，出生公证（法语）

9，2张照片（照片背面写上你的名字和国家）10，两个写有自己地址的信封 注：以网站提供的清单为准

B－1 步骤

CAMPUS ART步骤

1，在CAMPUS FRANCE的 PASTEL系统上注册，获得一个用户编号。

2，于每年10月1日开始，可在 CAMPUS ART网站上注册帐号。该网站在2月底关闭注册。

注：下载该年版本的F&Q是很重要的。里面有CAMPUS ART协议和推荐信格式。3，同时到公证处公证并翻译如下材料（对于没毕业的同学，毕业了的请参考A-1）： 出生证、大学录取通知书、高考成绩证明、高中毕业证、大学成绩单 到教育部学位认证中心申请在读证明： 在读证明认证

注：公证没有加急，一般在10天左右可领。认证在25个工作日完成，加急5个工作日内完成。3，一月底2月初进行TCF/TEF考试。

考试是在PASTEL上申请的。先申请，然后于中国银行汇款，然后可以选场次时间。

完成考试后立刻能收到一份临时成绩证明。正式证明将在一个月后去CF处领取。届时可将临时通知书与2月底邮寄到巴黎，正式证明更新到自己的网站上。

3，在2月底前完成网站建设，邮寄书面材料(A-3)到CA巴黎总部。4，3月初你的资料将被放到网上供学校筛选。

5，4月初到中旬，学校筛选结束，选取自己喜欢的学校，付款150欧元＊（2011年）。6，等待通知书和住房证明（大概六月中能收到，并不是同时到达）。7，可在材料齐全后于PASTEL上申请面签，并可同时申请递签。

注：申请面签只需要在读时的材料。在PASTEL网站申请面签后，先于中国银行汇款，带(A-1在读学生)到CF交齐材料。

8，面签结束后会在CF处收到一张面试证明。就可以完成递签了(A-2)材料。

9，递签完成以后，事情远没有结束。你一定要时刻关注自己资料的动态。法国行政事务办事效率不高，而且经常搞错搞混资料。一旦发现不对，不要犹豫，直接联系大使馆学生处或者CF。

法国留学基础名词解释

面签（也叫预签证）：是最重要的一步，在CAMPUS FRANCE进行。他会对你们的学习动机是否充足，学习计划是否合理，语言，专业水平进行评估。并给予一份评估报告（我们是看不到的，这份报告直接递交给大使馆签证官，作为是否颁发签证最重要的依据），面签完成以后，我们会收到一张参加过面签的证明，这份证明上没有任何评价性的东西，但是这份证明是递签材料之一。

递签：在“中智法签”进行。中智法签相当于法国大使馆，他是法国大使馆下属收集文件的机构（他的存在是为了分担大使馆初级工作的工作量，只负责审核材料是否齐全、完整，不具有签证的权力）。大使馆的作用是核实你们的行政手续，经济状况等因素，并结合面签的结果，决定是否给予签证。

预录取：面签时需要一份你们被法国学校预录取的证明，但是，这个预录取只作用与面签。到达法国以后，这个预录取不产生任何实际的录取效力。也就是说过完面签，这个就是一张废纸。（当然一张好的学校的预录取能大大增加签证的成功率。）

正式录取：这个录取就是有效力的录取通知书，等于我们国内的录取通知书。但是法国的美术学院一般不会不经过面试，就发出正式录取的。唯一的办法就是参与法国文化部组织的交流合作项目CA。

保险：每年每人强制性的保险是300欧元左右。医疗时可以有70％的报销额度。当然你也可以买补充保险。比如再多买100欧的补充保险，那么就可以有大部分日常医疗100％的报销额度。

CONCOURS：就是一个面试，对于一年级的新生。类似我们的艺术类高考。考试方法就是面试。Equivalence：交换生，插班生，对于一切希望从非一年级开始读的学生。

B2（TCF 400-499）：这个非常重要，很多学校已经不招收B2以下水平的学生。有的学校不招收B2以下水平的学生做毕业班学生。也就是说，想要毕业，一定要B2水平。

住房补助：又叫CAF，会按照你的收入和房租给予一定数额的补助。如果时情侣，补助会非常高。但是上限是300多欧元。

公证：在广州市仓边路26号就可以完成所有的公证。认证：你需要认证你的学位，在北京教育部学位认证中心。

法语学习： 1，每天花大量的时间记单词。（有个小技巧，每天可以给自己列3个或者5个单词。这几个单词你要在今天和同学，老师的对话中使用它。这样你用对了，那你就记住了；用错了，老师会纠正出来，你也能记住。像完成任务一样，还可以给自己设置完成奖励之类的。呵）2，尝试背诵一些课文。

3，听力和单词记忆一起复习：听一段对话，完全不看原文，无论听多少遍，怎样放慢，暂停的听，直到能95％的写下来，再对照原文检查，然后再重新听一遍。我在国内学法语的时候，每天晚上就做这些事情，早上在地铁公交上，就听前一天晚上写过的对话，那样听力提高也是非常快的。

4，阅读理解的话，分两种情况。一是保证足够广度的阅读量，多速读；然后找个别喜欢、感兴趣的进行精读。精读不必多，并且可以把单词都找出来，同时也扩充了词汇量。

暂时就想到这么多。不过无论如何就是自己的计划要让自己觉得舒服。不舒服靠毅力坚持下去，是挺难的。嘿嘿。

最后为了面签顺利，一定找一个讲法语的人练练。我当时找了一个留学生（地铁上听见他说法语，就去搭讪认识的）补习口语补习了近两个月，每天2－3个小时。所以面签的时候，面签官的问题我都完全能听清楚。保持一个一直讲法语的状态也是很重要的。

住宿分两个大情况：Campus Art 和 普通预录取

Campus Art 分两个小情况：

1，学校帮忙申请CROUS或者Residence Universitaire，申请人什么也不用管，就等一张证明就ok了，到时候凭证明就可以直接入住了。我去年只是被学校咨询了一下，需要经济型CROUS还是市中心的CROUS，然后收到一张证明，就能顺利过签。并且在抵达CROUS时，出示这张纸，就能入住预留好的房间。

2，学校提供证明，辅助申请人申请。我写信咨询了Paris-Cergy美院，秘书回复我必需自己申请CROUS或者Residence Universitaire，学校提供若干必要文件。这就需要申请人自己上网填表，收到纸质表格，签字后回寄等一系列手续。

第二个大情况就是通过预录取，也分两个小情况：

1，在报名语言中心时，语言中心会提供一份住房证明。但是这份证明实际作用只能过签证，到法国以后没有实际效用，需要重新找住房。

2，就是通过别的渠道申请到的有实际作用的住房证明，凭证明抵达法国即可入住。这种多半是中介机构提供的。

（当然你也可以自己找住房，通过网络或者朋友，法国房屋中介不少，应该说是很多，如果有需要可以试试联系中介。也可以去Leboncoin.fr，类似国内赶集，58同城类型的网站，直接联系房东。）

篇2：tcpdump中文手册

一．系统概述

NMX是哈雷设备管理系统，它不仅仅是管理ipqam，还能够管理哈雷全系列的其他产品。而用于管理ipqam时，nmx能够提供定时生成的统计报表和实时的统计报表，以便用户更易于判断分析是否需要扩容板卡。因为NMX管理ipqam的目的是监控状态和统计分析，所以nmx不提供直接修改ipqam的参数。客户可以使用web管理页面或者MCT工具进行修改配置参数。

二．功能讲解

NMX安装完之后组件和功能都甚多，本文档只针对ipqam管理过程中需要使用的必要功能进行说明。其中主要需要配置的有Domain manager和digital service manager。在查询报表时还会用到1个叫nmx report center的网页。在安装完成nmx后，首先需要配置domain manager，否则nmx其他组件运行不起来。

2.1Domain manager

Domain manager是NMX的核心组件之一，界面如下图所示。它的功能是管理nmx的数据库、NMX服务和系统设置。

如图所示为登录后的domain manager，其中需要配置的有home标签下的domain和option选项，database标签下的catalog management选项。

在首次使用domain manager的时候需要创建数据库。1.点选database标签，进入数据库配置页面。

2.点选catalog management，输入默认用户名sa，密码harmonic进入数据库管理页面创建数据库。

说明:NMX Main是管理设备信息的数据库，automation是管理加扰信息的数据库，Reporting是管理ipqam统计报表的数据库。上方的backup和restore是备份和恢复数据库。

在nmx main和reporting下创建数据库并激活数据库。创建数据库使用new选项，激活数据库使用make active选项。当前激活的数据库，显示的字体为斜体加粗。

NMX服务管理配置

在home标签下的domain按钮为配置NMX服务。功能如图所示

NMX系统设置

在home标签下的option按钮为配置NMX的系统设置。我们主要需要用到的功能在General，reporting还有alarms标签下。界面如图所示

general标签下的ip address请填上本机用于通讯的那个网口的地址，tftp用于NMX的管理设备时对设备版本的校验，也请填上本机的ip地址。

Reporting标签，是ipqam报表的设置选项。

其中Nighyly Process Launch Time为日常启动生成报表的时间，这是主要要设置的选项。Maxinum tthreshold。为显示资源使用率处于顶峰水平的门限 Critical threshold

为显示资源使用率处于警戒水平的门限 Low threshold

为显示资源使用率处于低水平的门限

NMX能支持存储最多2000条的报警日志的存储，其选项如图在alarm标签下。2.2Digital service manger Domain manager是NMX的后台，而digital service manger就是用户界面。大部分的管理操作都在这个组件中操作。NMX是一个面向对象操作的管理工具，其界面如下。

NMX对设备的管理是进行分组管理的，用户可以根据自己的实际需要建立分组，实际现在可能是一个机房的ipqam-6G分为一个组进行管理。上图为5个分组(机房)。右键空白处点选Creat new Group建立分组，再之后弹出的对话框中把分组的名字定好就可以了。

双击该分组(机房)能进入该分组查看该机房的设备或者添加删除设备。图为查看报警。

在进入分组后，右键空白create Harmonic devices->edge qams->NSG添加ipqam。

在之后弹出的对话框把，型号，软件版本，名字，ip地址都写好就可以。

在添加完实际的ipqam对象后，要建立用于统计流量的逻辑上的服务区，右键空白create logical devices->vod serving area。

在建立完逻辑服务区后，需要将逻辑服务区与实际的ipqam进行关联，点选菜单栏spreadsheet按钮。

用户需根据自己实际部署的ipqam来修改QAM manager和频点与逻辑服务区的关联。端到端的qam manager选择vod srm，异构平台的选择NGOD ERM。Serving area，例如你第一块卡的第一个端口的6个频点和第二块卡的第二个端口的6个频点覆盖一个小区，就将这12个频点沟到一个逻辑服务区里。另外的12个频点覆盖另外的小区就沟到另外的逻辑服务区上。

配置完成后，点击蓝色A盘小图标保存设置，并点选菜单栏TREE&MAP视图，回到对象管理界面。

如果成功关联，逻辑服务区和物理ipqam对象之间会有连线。

至此，ipqam在NMX上的配置就完成了。

报警查看

NMX是一个对象管理器，用户可以点选右侧主窗体的分组(机房)图标，然后点选菜单栏的current按钮查看该分组(机房)下的设备的当前报警，点选history按钮能查看该机房的设备的历史记录。当然也能点进具体的设备对象点选current或history按钮查看报警。

2.3NMX report center 这是NMX用于查看和即时生成统计报表的网页，地址为http://网管服务器的ip。用户名是administrator 密码为空

其中vod utiization选项，用户可以自定义查询不同逻辑服务区的各个时间段的流量统计。

Nightly reports为查询日常生成的统计报表。

篇3：tcpdump中文手册

编辑与资讯查询的生产力提升利器,它让您充份体验到崭新不同的数位工作风格.促销产品

OfficeXP中文版彩盒产品

OfficeXP中文版OPEN授权方案

促销的使用授权

含一般版,升级版及UA授权

促销期间

民国90年12月1日至民国91年1月31日止

促销资格

凡符合下列各项条件的MicrosoftOfficeXP中文版的购买用户方能获得MicrosoftOfficeXP智囊手册

MicrosoftOfficeXP中文版的彩盒包装

MicrosoftOfficeXP中文版的OPEN大授权方案

OfficeXP智囊手册内容

MicrosoftProducerforPowerPoint2002应用程式

整合简报,声音,动画与影像在一起多媒体工具让使用者轻松编制行销简报,客户管理与教育训练多媒体资料,英汉汉英字典应用程式

提供中英文单字与词汇的相换翻译的能力.本英汉汉英字典总共提供20余万多字的翻译容量.线上翻译程式

提供Internet上的中文简体,英文,德文,法文,西班牙与葡萄牙语言的文章立即翻译.智慧标签应用程式

透过「蕃薯藤」为MicrosoftOfficeXP所开发的智慧标签,使用者可以在文件编辑过程中轻松查询到有关理财资讯,企划行销,行政总务,资讯管理等的相关资讯,让您所要的资讯可以快速来找您.常用输入法应用程式

允许使用者使用熟悉的键来快速输入常用的中文的标点符号.同时并提供日文与韩文的输入法与字型.办公室生产力自我检验程式

用以检验个人在客户管理整合简报,声音,动画与影像在一起多媒体工具让使用者轻松编制行销简报,客户管理与教育训练多媒体资料,百大生产力提升密笈

提供客户管理,行销应用,个人与小组生产力提升技巧,内部管理等电脑应用技巧.目标客户

主要销售对象为:

一般电脑使用者

最新产品讯息及促销

http:///taiwan/office/

疑问解答

Q:对已购买MicrosoftOfficeXP的客户,他们如何获得智囊手册

A:对Select与EA客户,怹门可以透过台湾微软大可客户的销售人员或者大型客户经销夥伴免费拿到此一手册.至於OPEN与彩盒包装的客户而言,他们可以在12月15日后上网免费下载.网址是http:///taiwan/office/.Q:MicrosoftProducerforPowerPoint2002的系统需求为何

A:系统需求为MicrosoftWindowsXP的作业系统,并须事先安装MicrosoftOfficeXP标准版或专业版.Q:MicrosoftProducerforPowerPoint2002的简报格式只能支援MicrosoftPowerPoint2002吗

A:是的.Q:Microsoft英汉汉英字典内含的字数各为多少

A:英汉字典与汉字字典各内含超过10余万单字与词汇内容.所以此一字典总共含有20余万字的翻译能力.Q:Microsoft文章线上翻译功能是否提供不同语言的双向翻译

A:是的,目前线上文章翻译功能提供双向常用语言的翻译这包括中文简体,英,德,法,日,韩,义大利,西班牙与葡萄牙语言.等

Q:使用者要如何在MicrosoftOfficeXP程式上执行英汉汉英字典与线上翻译功能

篇4：tcpdump中文手册

2627

此文档为自行整理，非官方提供资料，仅供参考。疏漏之处敬请反馈。

对RAID进行操作很可能会导致数据丢失，请在操作之前务必将重要数据妥善备份，以防万一。

名称解释：

Disk Group：磁盘组，这里相当于是阵列，例如配置了一个RAID5，就是一个磁盘组

VD(Virtual Disk)： 虚拟磁盘，虚拟磁盘可以不使用阵列的全部容量，也就是说一个磁盘组可以分为多个VD

PD(Physical Disk)：物理磁盘

HS：Hot Spare 热备

Mgmt：管理

1、按照屏幕下方的虚拟磁盘管理器提示，在VD Mgmt菜单(可以通过CTRL+P/CTRL+N切换菜单)，按F2展开虚拟磁盘创建菜单

2、在虚拟磁盘创建窗口，按回车键选择”Create New VD”创建新虚拟磁盘

点击查看大图

篇5：tcpdump中文手册

匹配ether广播包。ether广播包的特征是mac全1.故如下即可匹配：

tcpdump ‘ether dst ff:ff:ff:ff:ff:ff‘

ylin@ylin:~$ sudo tcpdump -c 1 ‘ether dst ff:ff:ff:ff:ff:ff‘

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes

10:47:57.784099 arp who-has 192.168.240.77 tell 192.168.240.189

在此，只匹配1个包就退出了。第一个是arp请求包，arp请求包的是采用广播的方式发送的，被匹配那是当之无愧的。

匹配ether组播包，ether的组播包的特征是mac的最高位为1，其它位用来表示组播组编号，如果你想匹配其的多播组，知道它的组MAC地址即可。如

tcpdump ‘ether dst ‘ Mac_Address表示地址，填上适当的即可。如果想匹配所有的ether多播数据包，那么暂时请放下，下面会继续为你讲解更高级的应用。

(2)匹配arp包

arp包用于IP到Mac址转换的一种协议，包括arp请求和arp答应两种报文，arp请求报文是ether广播方式发送出去的，也即 arp请求报文的mac地址是全1，因此用ether dst FF;FF;FF;FF;FF;FF可以匹配arp请求报文，但不能匹配答应报文。因此要匹配arp的通信过程，则只有使用arp来指定协议。

tcpdump ‘arp‘ 即可匹配网络上arp报文。

ylin@ylin:~$ arping -c 4 192.168.240.1>/dev/null& sudo tcpdump -p ‘arp‘

[1] 9293

WARNING: interface is ignored: Operation not permitted

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes

11:09:25.042479 arp who-has 192.168.240.1 (00:03:d2:20:04:28 (oui Unknown)) tell ylin.local

11:09:25.042702 arp reply 192.168.240.1 is-at 00:03:d2:20:04:28 (oui Unknown)

11:09:26.050452 arp who-has 192.168.240.1 (00:03:d2:20:04:28 (oui Unknown)) tell ylin.local

11:09:26.050765 arp reply 192.168.240.1 is-at 00:03:d2:20:04:28 (oui Unknown)

11:09:27.058459 arp who-has 192.168.240.1 (00:03:d2:20:04:28 (oui Unknown)) tell ylin.local

11:09:27.058701 arp reply 192.168.240.1 is-at 00:03:d2:20:04:28 (oui Unknown)

11:09:33.646514 arp who-has ylin.local tell 192.168.240.1

11:09:33.646532 arp reply ylin.local is-at 00:19:21:1d:75:e6 (oui Unknown)

本例中使用arping -c 4 192.168.240.1产生arp请求和接收答应报文，而tcpdump -p ‘arp‘匹配出来了。此处-p选项是使网络工作于正常模式(非混杂模式)，这样是方便查看匹配结果。

(3)匹配IP包

众所周知，IP协议是TCP/IP协议中最重要的协议之一，正是因为它才能把Internet互联起来，它可谓功不可没，下面分析匹配IP包的表达式。

对IP进行匹配

tcpdump ‘ip src 192.168.240.69‘

ylin@ylin:~$ sudo tcpdump -c 3 ‘ip src 192.168.240.69‘

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes

11:20:00.973605 IP ylin.local.51486 >walnut.crossbeamsys.com.ssh: S 2706301341:2706301341(0) win 5840

11:20:00.974328 IP ylin.local.32849 >192.168.200.150.domain: 5858+ PTR? 20.200.168.192.in-addr.arpa. (45)

11:20:01.243490 IP ylin.local.51486 >walnut.crossbeamsys.com.ssh: . ack 2762262674 win 183

IP广播组播数据包匹配：只需指明广播或组播地址即可

tcpdump ‘ip dst 240.168.240.255‘

ylin@ylin:~$ sudo tcpdump ‘ip dst 192.168.240.255‘

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes

11:25:29.690658 IP dd.local >192.168.240.255: ICMP echo request, id 10022, seq 1, length 64

11:25:30.694989 IP dd.local >192.168.240.255: ICMP echo request, id 10022, seq 2, length 64

11:25:31.697954 IP dd.local >192.168.240.255: ICMP echo request, id 10022, seq 3, length 64

11:25:32.697970 IP dd.local >192.168.240.255: ICMP echo request, id 10022, seq 4, length 64

11:25:33.697970 IP dd.local >192.168.240.255: ICMP echo request, id 10022, seq 5, length 64

11:25:34.697982 IP dd.local >192.168.240.255: ICMP echo request, id 10022, seq 6, length 64

此处匹配的是ICMP的广播包，要产生此包，只需要同一个局域网的另一台主机运行ping -b 192.168.240.255即可，当然还可产生组播包，由于没有适合的软件进行模拟产生，在此不举例子。

(4)匹配TCP数据包

TCP同样是TCP/IP协议栈里面最为重要的协议之一，它提供了端到端的可靠数据流，同时很多应用层协议都是把TCP作为底层的通信协议，因为TCP的匹配是非常重要的。

如果想匹配HTTP的通信数据，那只需指定匹配端口为80的条件即可

tcpdump ‘tcp dst port 80‘

ylin@ylin:~$ wget www.baidu.com 2>1 1 >/dev/null & sudo tcpdump -c 5 ‘tcp port 80‘

[1] 10762

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes

12:02:47.549056 IP xd-22-43-a8.bta.net.cn.www >ylin.local.47945: S 130469:1202130469(0) ack 1132882351 win 2896

12:02:47.549085 IP ylin.local.47945 >xd-22-43-a8.bta.net.cn.www: . ack 1 win 183

12:02:47.549226 IP ylin.local.47945 >xd-22-43-a8.bta.net.cn.www: P 1:102(101) ack 1 win 183

12:02:47.688978 IP xd-22-43-a8.bta.net.cn.www >ylin.local.47945: . ack 102 win 698

12:02:47.693897 IP xd-22-43-a8.bta.net.cn.www >ylin.local.47945: . 1:1409(1408) ack 102 win 724

(5)匹配udp数据包

udp是一种无连接的非可靠的用户数据报，因此udp的主要特征同样是端口，用如下方法可以匹配某一端口

tcpdump ‘upd port 53‘ 查看DNS的数据包

ylin@ylin:~$ ping -c 1 www.baidu.com >/dev/null& sudo tcpdump -p udp port 53

[1] 11424

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes

12:28:09.221950 IP ylin.local.32853 >192.168.200.150.domain: 63228+ PTR? 43.22.108.202.in-addr.arpa. (44)

12:28:09.222607 IP ylin.local.32854 >192.168.200.150.domain: 5114+ PTR? 150.200.168.192.in-addr.arpa. (46)

12:28:09.487017 IP 192.168.200.150.domain >ylin.local.32853: 63228 1/0/0 (80)

12:28:09.487232 IP 192.168.200.150.domain >ylin.local.32854: 5114 NXDomain* 0/1/0 (140)

12:28:14.488054 IP ylin.local.32854 >192.168.200.150.domain: 60693+ PTR? 69.240.168.192.in-addr.arpa. (45)

12:28:14.755072 IP 192.168.200.150.domain >ylin.local.32854: 60693 NXDomain 0/1/0 (122)

使用ping www.baidu.com目标是产生DNS请求和答应，53是DNS的端口号，

此外还有很多qualitifer是还没有提及的，下面是其它合法的primitive,在tcpdump中是可以直接使用的。

gateway host

匹配使用host作为网关的数据包，即数据报中mac地址(源或目的)为host，但IP报的源和目的地址不是host的数据包。

dst net net

src net net

net net

net net mask netmask

net net/len

匹配IPv4/v6地址为net网络的数据报。

其中net可以为192.168.0.0或192.168这两种形式。如net 192.168 或net 192.168.0.0

net net mask netmask仅对IPv4数据包有效，如net 192.168.0.0 mask 255.255.0.0

net net/len同样只对IPv4数据包有效，如net 192.168.0.0/16

dst portrange port1-port2

src portrange port1-port2

portrange port1-port2

匹配端口在port1-port2范围内的ip/tcp，ip/upd，ip6/tcp和ip6/udp数据包。dst, src分别指明源或目的。没有则表示src or dst

less length 匹配长度少于等于length的报文。

greater length 匹配长度大于等于length的报文。

ip protochain protocol 匹配ip报文中protocol字段值为protocol的报文

ip6 protochain protocol 匹配ipv6报文中protocol字段值为protocol的报文

如tcpdump ‘ip protochain 6 匹配ipv4网络中的TCP报文，与tcpdump ‘ip && tcp‘用法一样，这里的&&连接两个primitive。6是TCP协议在IP报文中的编号。

ether broadcast

匹配以太网广播报文

ether multicast

匹配以太网多播报文

ip broadcast

匹配IPv4的广播报文。也即IP地址中主机号为全0或全1的IPv4报文。

ip multicast

匹配IPv4多播报文，也就是IP地址为多播地址的报文。

ip6 multicast

匹配IPv6多播报文，即IP地址为多播地址的报文。

vlan vlan_id

匹配为vlan报文 ，且vlan号为vlan_id的报文

到些为此，我们一直在介绍primitive是如何使用的，也即expression只有一个primitive。通过学会写好每个primtive，我们就很容易把多个primitive组成一个expression，方法很简单，通过逻辑运算符连接起来就可以了，逻辑运算符有以下三个：

“&&” 或”and”

“||” 或“or”

“!” 或“not”

并且可通过进行复杂的连接运算。

如tcpdump ‘ip && tcp’

tcpdump ‘ host 192.168.240.3 &&( tcp port 80 || tcp port 443)’