可以将fddi协议包当作ether的包进行处理和分析。 其他的几个关键字就是指明了监听的包的协议内容。如果没有指定任何协议，则tcpdump将会监听所有协议的信息包。

除了这三种类型的关键字之外，其他重要的关键字如下：gateway, broadcast,less,greater,还有三种逻辑运算，取非运算是 'not ' '! ', 与运算是'and','&&';或运算 是'or' ,'||'；

这些关键字可以组合起来构成强大的组合条件来满足人们的需要，下面举几个例子来

1、想要截获所有210.27.48.1 的主机收到的和发出的所有的数据包： #tcpdump host 210.27.48.1

2、想要截获主机210.27.48.1 和主机210.27.48.2 或210.27.48.3的通信，使用命令：（在命令行中适用括号时，一定要

#tcpdump host 210.27.48.1 and \\ (210.27.48.2 or 210.27.48.3 \\) 3、如果想要获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包，使用命令：

ip host 210.27.48.1 and ! 210.27.48.2

4、如果想要获取主机210.27.48.1接收或发出的telnet包，使用如下命令： tcp port 23 host 210.27.48.1 5.过滤规则实例

? 捕捉主机10.14.26.53和www服务器www.zju.edu.cn之间的通信（这里主机

10.14.26.53可以是自身，也可以是通过普通HUB（而不是交换机）与本机相连的LAN上的其它主机或路由器,下同），Ethereal的capture filter 的filter string设置为：

host 10.14.26.53 and www.zju.edu.cn

? 捕捉局域网上的所有ARP包，Ethereal的capture filter 的filter string

设置为： arp

? 捕捉局域网上主机10.14.26.53发出或接受的所有ARP包，Ethereal的

capture filter 的filter string设置为：arp host 10.14.26.53 或者等价地设置为：arp and host 10.12.105.27

? 捕捉局域网上主机10.14.26.53发出或接受的所有POP包（即src or dst port

＝110），Ethereal的capture filter 的filter string设置为：

tcp port 110 and host 10.14.26.53

或者等价地设置为：tcp and port 110 and host 10.14.26.53 ? 捕捉局域网上主机10.14.26.53发出或接受的所有FTP包（即src or dst port

＝21），Ethereal的capture filter 的filter string设置为：

tcp port 21 and host 10.14.26.53

(1). 在主机10.14.26.53上用FTP客户端软件访问FTP server。

(2). 观察并分析10.14.26.53和FTP server之间传输的Ethernet II (即DIX Ethernet v2) 帧结构，IP数据报结构，TCP segment结构。

(3). 观察并分析FTP PDU名称和结构。注意10.14.26.53发出的FTP request PDU中以USER开头、以PASS开头的两个PDU，他们包含了什么信息？对INTERNET的FTP协议的安全性作出评价。

? 捕捉局域网上的所有icmp包，Ethereal的capture filter 的filter string

设置为：icmp

? 捕捉局域网上的所有ethernet broadcast帧，Ethereal的capture filter 的

filter string设置为：ether broadcast

? 捕捉局域网上的所有IP广播包，Ethereal的capture filter 的filter

string设置为：ip broadcast ? 捕捉局域网上的所有ethernet multicast帧，Ethereal的capture filter 的

filter string设置为：ether multicast

? 捕捉局域网上的所有IP广播包，Ethereal的capture filter 的filter

string设置为： ip multicast

? 捕捉局域网上的所有ethernet multicast或broadcast帧，Ethereal的

capture filter 的filter string设置为： ether[0] & 1 != 0 ? 要以MAC address 00:00:11:11:22:22为抓封包条件, Filter string设置为：

ether host 00:00:11:11:22:22

FTP模型与测试分析环境

协议分析器

协议分析器的作用就是监视FTP客户与FTP服务器的协议交互过程，记录并对协议包进行分析; 分析环境的具体参数是：

FTP服务器：MAC地址为 00-00-C0-22-A1-01 IP地址为 201.5.21.1 控制连接端口号为 20 数据连接端口号为 21

FTP客户： MAC地址为 02-60-8C-01-24-28 IP地址为 201.5.21.25 数据连接端口号为 15432 控制连接端口号为 7180 FTP工作模型

FTP控制连接建立过程的协议分析

地址解析ARP协议执行过程

FTP控制连接建立过程

协议包4～6 是FTP 控制连接建立的协议执行过程 协议包4：FTP客户请求建立与FTP服务器控制连接包

FTP控制连接建立的协议包交互过程

FTP用户登录身份验证过程的协议分析

协议包9～16是用户身份的协议执行过程

协议包9：FTP客户发送给FTP服务器的User命令协议包

协议包10：FTP服务器发送给FTP客户对User命令的应答包

协议包12：FTP客户发送给FTP服务器的带有用户名与密码的应答包