Linux的tcpdump如何显示报文内容？用什么参数？举个例子谢谢？

抓包命令tcpdumptcp-Aport22-wa.cap将报文内容存在a.cap里面。a.cap文件是2进制的，需要用ethreal工具专门读取。

工业防火墙原理？

工业路由器的防火墙原理在不同网络的安全域之间有一系列软硬件结合的组件。通过监测、限制等方式尽可能的对外部屏蔽网络内部信息、结构和运行状况，有选择的接受外部访问。

“防火墙”术语来自建筑设计领域，是指用来起分隔作用的墙，当某一部分着火时可以减缓或保护其他部分免受火灾影响。在计算机网络中，防火墙是在两个或多个网络之间用于设置安全策略的一个或多个系统的组合。防火墙起到隔离异常访问的作用，仅允许可靠的流量通过，从而保护了家庭和企业内部网络信息的安全。

　　Linux防火墙通常包含两部分，分别为iptables和netfilter。iptables是Linux管理防火墙规则的命令行工具，处于用户空间。netfilter执行报文过滤，处于Linux内核空间。有时候也会用iptables来统称Linux防火墙。

　　iptables是用来设置、维护和检查Linux内核的防火墙IP报文过滤规则和网络地址转换规则的。

　　iptables是一个报文状态监测防火墙，这意味着防火墙内部存储每一个连接的信息，并且可以将每一个报文关联到它所属的连接。这个信息非常有用，它用于自动打开响应报文的传输路径，因此在创建防火墙规则时，通常没有必要创建相反方向的防火墙规则，防火墙将自动计算出这个规则。

dpdk下用socket编程，详细讲解一下？

DPDK没有协议栈，两种方式，一种使用第三方有基于DPDK开发的开源的TCP/IP协议栈，另外一种方式将收发报文通过linuxTUN/TAP设备转到linux内核协议栈中处理

为何我的tcpdump在linux下运行不了？

tcpdump是通过libpcap来抓取报文的，libpcap在不同平台有不同的实现，下面仅以Linux平台来作说明。首先Linux平台在用户态获取报文的Mac地址等链路层信息并不是什么特殊的事情，通过AF_PACK套接字就可以实现，而tcpdump或libpcap也正是用这种方式抓取报文的(可以strace tcpdump的系统调用来验证)。关于AF_PACK的细节，可查看man 7 packet。其次，上面已经提到tcpdumap使用的是AF_PACK套接字，不是Netfilter。使用Netfilter至少有2点不合理的地方：

1. 数据包进入Netfilter时其实已经在协议栈做过一些处理了，数据包可能已经发生一些改变了。比较明显的一个例子，进入Netfilter前需要重组分片，所以Netfilter中无法抓取到原始的报文分片。而在发送方向，报文离开Netfilter时也未完全结束协议栈的处理，所以抓取到的报文也会有不完整的可能。

2. 在Netfilter抓取的报文，向用户态递送时也会较为复杂。Netfilter的代码处在中断上下文和进程上下文两种运行环境，无法使用传统系统调用，简单的做法就是使用Netlink。而这还不如直接用AF_PACKET抓取报文来得简单（对内核和用户态程序都是如此）。