前言

用簡單的話來定義tcpdump，就是：dump the traffic on a network，根據(jù)使用者的定義對網(wǎng)絡上的數(shù)據(jù)包進行截獲的包分析工具。 tcpdump可以將網(wǎng)絡中傳送的數(shù)據(jù)包的“頭”完全截獲下來提供分析。它支持針對網(wǎng)絡層、協(xié)議、主機、網(wǎng)絡或端口的過濾，并提供and、or、not等邏輯語句來幫助你去掉無用的信息。

說到這個tcpdump命令，就不得不提自己參加的中國移動內(nèi)蒙古分公司第三代CRM系統(tǒng)的開發(fā)與實施。如果沒有記錯的話，那應該是2016年，自己單獨負責整個10086客服系統(tǒng)自助渠道的整體改造工作；在系統(tǒng)壓測階段，調(diào)用接口平臺時，總是出現(xiàn)超時現(xiàn)象。后來這個問題越來越嚴重，同時短廳渠道、CBOSS渠道也反饋有這個問題，這時這個問題就引起了大BOSS的注意，然后就是各方專家會診。在這種大型項目中，專家會診，都有一個特色，就是專家指揮，小弟干活，而我那個時候，就是那個小弟。

好吧，專家發(fā)話了，抓包先。這就開始了我的抓包工作，開始了我對tcpdump的全面理解。

首先需要說的是，這個tcpdump是一個非常功能強大的命令，功能強大，那也就意味著這個命令的使用是非常復雜的，也就是說，我接下來整理的內(nèi)容也會是非常多的。如果你想去掌握整個tcpdump命令的話，就需要你稍微有點耐心去把整篇文章讀完。OK,Let's go!

命令簡介

tcpdump是一款強大的網(wǎng)絡抓包工具，運行在Linux平臺上。熟悉tcpdump的使用能夠幫助我們分析、調(diào)試網(wǎng)絡數(shù)據(jù)。但是要想很好地掌握tcpdump， 就必須對網(wǎng)絡報文（TCP/IP協(xié)議）有一定的了解。不過對于簡單的使用來說，只要有網(wǎng)絡基礎(chǔ)概念就行了。

作為互聯(lián)網(wǎng)上經(jīng)典的的系統(tǒng)管理員必備工具，tcpdump以其強大的功能，靈活的截取策略，成為每個高級的系統(tǒng)管理員分析網(wǎng)絡，排查問題等所必備的工具之一。在實際工作中，需要以root權(quán)限去執(zhí)行該命令。

tcpdump是一個很復雜的命令，想了解它的方方面面非常不易，也不值得推薦，能夠使用它解決日常工作中的問題才是關(guān)鍵，所以，以下的總結(jié)我將更側(cè)重于從實際工作出發(fā)，整理一些實際工作中經(jīng)常用到的用法，對于一些冷門用法，我這里基本不會涉及，如果日后在工作中用到了，我這里也會更新進來。

命令詳解
下面就先對tcpdump一些常用的選項進行總結(jié)。

• -s number：tcpdump默認只會截取前96字節(jié)的內(nèi)容，要想截取所有的報文內(nèi)容，就需要使用這個選項，其中number是需要截取的報文字節(jié)數(shù)，如果是0的話，表示截取報文全部內(nèi)容；
• -nn：表示不解析域名，直接顯示IP，在netstat命令中，也有這個選項；
• -X：同時使用hex和ascii顯示報文內(nèi)容；
• -S：顯示絕對的序列號（sequence number），而不是相對編號；
• -i：指定監(jiān)聽的網(wǎng)卡，如果為-i any則表示監(jiān)聽所有的網(wǎng)卡；
• -v，-vv，-vvv：顯示更多的詳細信息；
• -c number：表示截取number個報文，然后結(jié)束；
• -w：將監(jiān)聽到的數(shù)據(jù)包寫入文件中保存，而并不分析和打印出來；
• -A：只使用ascii打印報文的全部數(shù)據(jù)，不要和-X選項一起使用。截取HTTP請求的時候可以用sudo tcpdump -nSA port 80

雖然tcpdump命令的選項特別多，但是常用的選項也就上面那幾個，我這里將更多的把注意力放在使用實例上，通過使用實例來學習tcpdump這個命令。

過濾器

先進行使用實例詳解時，有必要先掌握tcpdump一些基本的使用理論知識，先來說說過濾器。

在服務器上的網(wǎng)絡報文是異常的多，很多時候我們只關(guān)注和具體問題有關(guān)的數(shù)據(jù)報文，而這些有用的報文只占到很小的一部分，為了不讓我們在報文的海洋里迷失自己，我們就非常有必要學習一下tcpdump提供的靈活而且功能強大的過濾器。

過濾器也可以簡單地分為三類：type，dir和proto。

type：主要用來區(qū)分過濾報文源類型，主要由host主機報文，net網(wǎng)段報文和port指定端口的報文組成；

dir：只過濾報文的源地址和目的地址，主要包括src源地址和dst目的地址；

proto：只過濾報文的協(xié)議類型，支持tcp，udp和icmp等；使用的時候可以省略proto關(guān)鍵字：

• tcpdump -i eth1 arp
• tcpdump -i eth1 ip
• tcpdump -i eth1 tcp
• tcpdump -i eth1 udp
• tcpdump -i eth1 icmp

在我們使用tcpdump命令時是離不開這些過濾器的。

條件組合

在茫茫網(wǎng)絡中，想要找到那個你想要的網(wǎng)絡包，還是有一定難度的。為了抓住那個我們想要的網(wǎng)絡包，在我們抓包命令中，包含越多的限制條件，抓的無關(guān)包就會越少，所以在進行抓包時，我們可以使用“與”（and、&&）、“或”（or、||）和“非”（not、!）來將多個條件組合起來。這對我們需要基于某些條件來分析網(wǎng)絡包是非常有用的。

使用實例

命令：tcpdump -i eth1

說明：監(jiān)視指定網(wǎng)絡接口的數(shù)據(jù)包

命令：tcpdump host 210.27.48.3

說明：截獲210.27.48.3主機收到的和發(fā)出的所有數(shù)據(jù)包

命令：tcpdump host 210.27.48.4 and (210.27.48.5 or 210.27.48.6)

說明：截獲210.27.48.3主機和210.27.48.5或者210.27.48.6主機進行通信的所有數(shù)據(jù)包

命令：tcpdump net 192.168.1.0/24

說明：截獲192.168.1.0/24整個網(wǎng)絡的數(shù)據(jù)包

命令：tcpdump -i eth0 src host 210.27.48.3

說明：監(jiān)視eth0網(wǎng)卡上源地址是210.27.48.3的所有網(wǎng)絡包

命令：tcpdump -i eth0 dst host 210.27.48.3

說明：監(jiān)視eth0網(wǎng)卡上目的地址是210.27.48.3的所有網(wǎng)絡包

命令：tcpdump tcp port 23 and host 210.27.48.3

說明：獲取主機210.27.48.3上端口為23的應用發(fā)出和接收的所有TCP協(xié)議包

命令：tcpdump udp port 123

說明：獲取本機123端口發(fā)出和接收的所有UDP協(xié)議包

命令：tcpdump src host 10.126.1.222 and dst net 10.126.1.0/24

說明：截獲源主地址為10.126.1.222，目的地址是10.126.1.0/24整個網(wǎng)絡

命令：tcpdump -i eth0 -s0 -G 60 -Z root -w %Y_%m%d_%H%M_%S.pcap

說明：抓取報文后按照指定時間間隔保存；-G選項后面接時間，單位為秒；上述命令就是每隔60秒生存一個文件

命令：tcpdump -i eth0 -s0 -C 1 -Z root -w eth0Packet.pcap

說明：抓取報文后按照指定報文大小保存；-C選項后接文件大小，單位為MB；上述命令就是每抓包文件達到1MB時就使用一個新的文件保存新抓的報文

上面說到tcpdump抓包后生成對應的文件，那這個文件如何進行分析呢？是的，有這么樣一個叫做“Wireshark”的軟件，可以非常完美的和tcpdump進行結(jié)合，提供可視化的分析界面；有興趣的話可以去學習一下，后續(xù)如果有時間，我也整理一個“Wireshark”入門系列。

總結(jié)

拖的時間比較長，終于整理完畢！當然了，tcpdump這么復雜的一個命令，我這里并沒有進行非常全面的整理，但是我這里整理的內(nèi)容絕對不會影響你在工作中使用tcpdump這個命令。還是那個“二八定律”，復雜的命令，常用的功能也就占用20%，其余80%都是比較偏僻生冷的功能，或者說工作中很少會用到的功能。

好了，以上就是這篇文章的全部內(nèi)容了，希望本文的內(nèi)容對大家的學習或者工作具有一定的參考學習價值，如果有疑問大家可以留言交流，謝謝大家對VEVB武林網(wǎng)的支持。