tcpdump交叉編譯及使用

第一步.下載
官方網站:http://www.tcpdump.org/
須要下載libpcap包和tcpdump包
我下載的版本是:libpcap-1.4.0.tar.gz和tcpdump-4.4.0.tar.gz

第二步.編譯libpcap包
2.1 解壓

tar -zxvf libpcap-1.4.0.tar.gz

2.2 進入解壓目錄

cd libpcap-1.4.0/

2.3 配置生成makefile文件

CC=arm-none-linux-gnueabi-gcc ac_cv_linux_vers=2 ./configure --host=arm-linux --with-pcap=linux

(CC是交叉工具鏈)
2.4 編譯

make

第三步.編譯tcpdump包
3.1 解壓

tar -zxvf tcpdump-4.4.0.tar.gz

3.2 進入解壓目錄

cd tcpdump-4.4.0/

3.3 配置生成makefile文件

CC=arm-none-linux-gnueabi-gcc ac_cv_linux_vers=2 ./configure --host=arm-linux --with-pcap=linux

(CC是交叉工具鏈)
3.4 編譯

make

第四步.測試體驗
4.1 拷貝
將tcpdump-4.4.0目錄下的tcpdump文件拷貝到目標板文件系統/bin目錄下
4.2 簡介
tcpdump 是一個運行在命令行下的嗅探工具。它容許用戶攔截和顯示發送或收到過網絡鏈接到該計算機的TCP/IP和其餘數據包。
tcpdump可以分析網絡行爲，性能和應用產生或接收網絡流量。它支持針對網絡層、協議、主機、網絡或端口的過濾，並提供and、or、not等邏輯語句來幫助你去掉無用的信息，從而使用戶可以進一步找出問題的根源。
4.3 快速體驗
root權限直接運行tcpdump不帶任何參數,將監視第一個網絡界面上全部流過的數據包.(ping一下或打開網頁試試)
4.4 命令參數簡介
tcpdump --help 顯示命令格式

Usage: tcpdump [-aAdDefIKlLnNOpqRStuUvxX] [ -B size ] [ -c count ]
		[ -C file_size ] [ -E algo:secret ] [ -F file ] [ -G seconds ]
		[ -i interface ] [ -M secret ] [ -r file ]
		[ -s snaplen ] [ -T type ] [ -w file ] [ -W filecount ]
		[ -y datalinktype ] [ -z command ] [ -Z user ]
		[ expression ]

4.4 命令參數細分

-a		將網絡地址和廣播地址轉變成名字;
-d		將匹配信息包的代碼以人們可以理解的彙編格式給出;
-dd 　　將匹配信息包的代碼以c語言程序段的格式給出;
-ddd 　	將匹配信息包的代碼以十進制的形式給出;
-e 　	在輸出行打印出數據鏈路層的頭部信息;
-f 　	將外部的Internet地址以數字的形式打印出來;
-l 　	使標準輸出變爲緩衝行形式;
-n		不把網絡地址轉換成名字;
-t 		在輸出的每一行不打印時間戳;
-v 　	輸出一個稍微詳細的信息，例如在ip包中能夠包括ttl和服務類型的信息;
-vv 　	輸出詳細的報文信息;
-c 　	在收到指定的包的數目後，tcpdump就會中止;
-F 　　	從指定的文件中讀取表達式,忽略其它的表達式;
-i 　	指定監聽的網絡接口;
-r 　	從指定的文件中讀取包(這些包通常經過-w選項產生);
-w 　	直接將包寫入文件中,並不分析和打印出來；
-T 　　	將監聽到的包直接解釋爲指定的類型的報文,常見的類型有rpc(遠程過程調用)和snmp(簡單網絡管理協議;)

4.5 具體使用方法的外部連接
man手冊:http://www.tcpdump.org/tcpdump_man.html
超級詳細Tcpdump 的用法:http://bbs.chinaunix.net/forum.php?mod=viewthread&tid=2011433

Linux tcpdump命令詳解:http://www.cnblogs.com/ggjucheng/archive/2012/01/14/2322659.html

wireshark軟件官方下載頁:http://www.wireshark.org/download.html