刷脸支付代理：TcpDump作为Linux默认分发的工具，简便好用

更强大的是TcpDump的表达式语法。利用表达式可以高效地过滤出真正想要捕获的

流量。

    表达式分成三类：type、dir和proto。type包括host、net和port，其中net使用cidr

格式，即127.0.0.1/32这样的写法；dir是direction的缩写，包括src、dst、src or dst和src

and dst;  proto是协议。

    这里给一个简单示例，获取本机发往114.114.114.114的53端口的流量，命令如下。

    此外，还有一些额外的过滤器。比如端口段portrange，包大小less(<)和greater(>=)等。

tcpdump>32

还有表达式操作符and(&&)、or(ll)和not(!)。

    这里给一个简单示例，获取本地网络发往192.168.0.2的非ping流量的全部内容，命

令如下。

鬻- -tCEiifayAXIP -nv\jrXSs 1514.麟、i篱鬻鬻黼≥囊蒸纂黎繁黎

    最后，还有优先级。优先级和操作符在编程上总是一起出现的，TcpDump表达式也不

例外。

    这里给一个简单示例，获取从192.168.0.2发往远端3389或者22端口的流量，命令

如下。

    TcpDump还可以针对连接的不同状态(tcp flags)进行专门的过滤。最常见的需求就

是过滤SYN和RST两个状态的情况。RST的查看命令如下。

    tcpdump 'tcp{13:].一＆4¨i1-01j__。    _  ?

    SYN的查看命令如下。

    tcpdump "tcp[13Ji    这里的“tcp[13]”指的是在tcp header中，偏移量为13的位置的数字。不过这个写法

不太便于记忆。所以TcpDump提供了另一种方便记忆的写法。

  i  tcpdLimp:≯tep [TtcpfYagsY誊装jtcp二syn建立jo≥_、  +j≯一

  最后，TcpDump的用法远远不止这些，实际运维工作中甚至可以通过TcpDump来过

滤Oracle的SQL做检查分析等。读者千万记住在使用的时候要多多参照man文档。

1.3.6  Wireshark

    TcpDump作为Linux默认分发的工具，简便好用，但对普通需求场景也不是特别易用

——不管是HEX还是ASCII格式，可读性都不是特别强。所以，很多时候，为了方便解

读，可能会采取更简单的做法，即通过“tcpdump -s0 -w”保存好全部数据包，然后交给

Wireshark读取查看。

    Wireshark原名Ethereal，2006年后才改叫这个名字，和TcpDump -样使用Libpcap

库，不过它带有一个GTK+的图形界面。