网上的东西都是这样，介绍软件，参数的多，实例的很少。

MegaEntry - Social networking and discussion site!

很多时候，我们有了软件的参数使用方法，但是还是不是很明白，领会。今天，我在用网路岗监控的时候，看到里面监控的仅仅是些常用的网络服务器形式，80，邮件，ftp，功能太下载。这个监控上网内容还可以，要分析些网络事件，无能为力了。于是，我想到，一般局域网中怕的就是木马，病毒，发送垃圾数据包，常常堵塞网络。 于是，我就想起用tcpdump来试试看，毕竟很多软件都是靠他来监控的。试试牛刀了先 tcpdump 一看，信息太多。 想了想我要做的是什么，主要是想看看，局域网中访问internet那些东西，跟那些机器有连接，而且要探测不明链接。从而可以发现是否有木马，病毒一些在作怪！tcpdump dst net not 192.168.123.0/24 不监视跟网内机子的链接，过滤很多信息。迅速进入主题， 不想看发邮件的情况，一般的80网页访问，domain访问，还有要排除网内已有服务器的一些端口。tcpdump dst net not 192.168.123.0/24 and dst port not ( www or 25 or 110 or 5000 or domain ) and src port ! ( 4011 or 4010 or 4009 )这样的话看到的信息就相对少了很多，这个时候就可以看到一些不常见的链接了，对发现木马和病毒会有一定的帮助。相信大家看过tcpdump的用法，过滤表达式应该不难理解。我也就解释下吧，高手就不用看了。dst net not 192.168.123.0/24 不监视与网内机器的连接dst port not ( www or 25 or 110 or 5000 or domain ) 过滤与internet中运行 目标端口的连接，不显示访问网页，邮件，查询DNS的这些连接

CopyRight owned by the original author.--(www.MegaEntry.com)

src port ! ( 4011 or 4010 or 4009 ) 这个主要是因为 装有虚拟局域网软件，网内服务器与外面分部的连接，不需要显示。 当然这里的端口可以根据实际情况换掉接下来，我（隔了一天接着写）我从看到的信息里面发现有频繁连接外面5050的连接，google搜索了下5050是什么端口，发现跟dudu.com中的一个软件有关系。接着我又开个term，tcpdump dst port 5050 ，这样又可以同时看到那些具体连接外面5050端口的机子。我的过程中就发现只有一台机子更这个联系。最后在那台机子上果然发现以前安装的一个dudu校友录软件的服务在后台运行。通过这个经历，发现tcpdump果然很强大，只要灵活运用，作用还真的很大。虽然，我写的帖子没有什么深奥的地方，也很简单。 之所以写这个东西，不是来说明什么，只是想对一些想了解却总不明白的兄弟一点点启发。 要举一反三哦