tcpdump抓包工具概述与选项介绍，对网络安全影响几何？

hwyzw

     简单来说就是一款抓包工具

    一、概述

    源代码得以提供，接口得以公开，这使得工具具备了显著的扩展能力，对于网络管理和防范入侵者而言，显得尤为实用。该工具内置于Linux系统的基本架构中，尽管它要求网络接口处于混杂模式，导致普通用户无法正常操作，然而，拥有root权限的用户却可以直接运行它，以便获取网络中的相关信息。因此，该系统中的网络分析工具主要构成的不是对本机安全的潜在风险，而是对网络中其他计算机安全构成的潜在威胁。

    会搜集网络中所有不带参数的信息包头，所涉及的数据量极其庞大，因此必须进行筛选。

    二、选项介绍

<p style='margin-bottom:15px;color:#555555;font-size:15px;line-height:200%;text-indent:2em;'>    <pre><code class="prism language-bash">将所有分组以ASCII格式输出，同时尽量减少链路层的头部信息。
-c 在收到指定的数量的分组后，tcpdump就会停止。
在将原始分组信息写入文件之前，需核实文件当前容量是否已超出file_size参数所设定的上限。若容量已超限，需立即关闭现有文件，并重新开启一个新文件。需要注意的是，file_size参数所使用的单位为兆字节，即1,000,000字节，而非1,048,576字节。
-d 将匹配信息包的代码以人们能够理解的汇编格式给出。

-dd 将匹配信息包的代码以c语言程序段的格式给出。
-ddd 将匹配信息包的代码以十进制的形式给出。
-D 打印出系统中所有可以用tcpdump截包的网络接口。
-e 在输出行打印出数据链路层的头部信息。
使用spi@ipaddr和algo:secret进行解密操作，针对的是那些地址为addr且包含安全参数索引spi的IPsec ESP数据包。
-f 将外部的Internet地址以数字的形式打印出来。
-F 从指定的文件中读取表达式，忽略命令行中给出的表达式。
-i 指定监听的网络接口。
-l 使标准输出变为缓冲行形式，可以把数据导出到文件。
   

-L 列出网络接口的已知数据链路。
从文件名为module的文件中引入了SMI MIB模块的相关定义。此参数可被反复调用，以便导入不止一个MIB模块。
若TCP报文中包含TCP-MD5选项，那么必须使用预先共享的密钥（secret）来核实TCP-MD5选项的摘要信息。具体操作细节可参照RFC 2385标准。
在数据链路层，我们需挑选相应的协议，诸如IP、ARP、RARP以及IPX，这些均属于该层的范畴。
-n 不把网络地址转换成名字。
-nn 不进行端口名称的转换。
不显示主机名中的域名部分，仅呈现主域名。比如，输入‘nic.ddn.mil’时，仅输出‘nic’。
-t 在输出的每一行不打印时间戳。
-O 不运行分组分组匹配（p</code></pre></p>