dst net not 192.168.123.0/24 不监视与网内机器的连接
dst port not \( www or 25 or 110 or 5000 or domain \) 过滤与internet中运行 目标端口的连接,不显示访问网页,邮件,查询DNS的这些连接
src port ! \( 4011 or 4010 or 4009 \) 这个主要是因为 装有虚拟局域网软件,网内服务器与外面分部的连接,不需要显示。 当然这里的端口可以根据实际情况换掉
接下来,我(隔了一天接着写)我从看到的信息里面发现有频繁连接外面5050的连接,google搜索了下5050是什么端口,发现跟dudu.com中的一个软件有关系。接着我又开个term,tcpdump dst port 5050 ,这样又可以同时看到那些具体连接外面5050端口的机子。我的过程中就发现只有一台机子更这个联系。最后在那台机子上果然发现以前安装的一个dudu校友录软件的服务在后台运行。