tcpdump 命令使用简介

tcpdump 是一款强大的网络抓包工具，运行在 linux 平台上。熟悉 tcpdump 的使用能够帮助你分析、调试网络数据。

要想使用很好地掌握 tcpdump， 必须对网络报文（ TCP/IP 协议）有一定的了解。不过对于简单的使用来说，只要有网络基础概念就行了。

tcpdump 是一个很复杂的命令，想了解它的方方面面非常不易，也不值得推荐，能够使用它解决日常工作中的问题才是关键。

tcpdump 的选项也很多，要想知道所有选项的话，请参考 man tcpdump ，下面只记录 tcpdump 最常用的选项。

完整的英文文档： https://www.tcpdump.org/tcpdump_man.html

需要注意的是，tcpdump 默认只会截取前 96 字节的内容，要想截取所有的报文内容，可以使用 -s number ， number 就是你要截取的报文字节数，如果是 0 的话，表示截取报文全部内容。

Frame = Ethernet Header + IP Header + TCP Header + TCP Segment Data

Ethernet Header 以下的IP数据报最大传输单位为 MTU （Maximum Transmission Unit，Effect of short board），对于大多数使用以太网的局域网来说， MTU=1500 。

TCP数据包每次能够传输的最大数据分段为MSS，为了达到最佳的传输效能，在建立TCP连接时双方将协商MSS值——双方提供的MSS值中的最小值为这次连接的最大MSS值。MSS往往基于MTU计算出来，通常 MSS =MTU-sizeof(IP Header)-sizeof(TCP Header)=1500-20-20=1460。

这样，数据经过本地TCP层分段后，交给本地IP层，在本地IP层就不需要分片了。但是在下一跳路由（Next Hop）的邻居路由器上可能发生IP分片！因为路由器的网卡的MTU可能小于需要转发的IP数据报的大小。

这时候，在路由器上可能发生两种情况：

（1）如果源发送端设置了这个IP数据包可以分片（May Fragment，DF=0），路由器将IP数据报分片后转发。

（2）如果源发送端设置了这个IP数据报不可以分片（Don’t Fragment，DF=1），路由器将IP数据报丢弃，并发送ICMP分片错误消息给源发送端。

默认启动，普通情况下，直接启动tcpdump将监视第一个网络接口上所有流过的数据包

监听所有端口，直接显示 ip 地址。

显示更详细的数据报文，包括 tos, ttl, checksum 等。

显示数据报的全部数据信息，用 hex 和 ascii 两列对比输出。

下面是抓取 ping 命令的请求和返回的两个报文，可以看到全部的数据。

机器上的网络报文数量异常的多，很多时候我们只关系和具体问题有关的数据报（比如访问某个网站的数据，或者 icmp 超时的报文等等），而这些数据只占到很小的一部分。把所有的数据截取下来，从里面找到想要的信息无疑是一件很费时费力的工作。而 tcpdump 提供了灵活的语法可以精确地截取关心的数据报，简化分析的工作量。这些选择数据包的语句就是过滤器（filter）！

过滤器也可以简单地分为三类： type , dir 和 proto 。

Type 让你区分报文的类型，主要由 host （主机）, net （网络） 和 port （端口） 组成。 src 和 dst 也可以用来过滤报文的源地址和目的地址。

此外还有指定端口和数据报文范围的过滤器：

过于过滤器的更多详细信息，请访问 tcpdump 官方 map page 的 PCAP-FILTER 部分

使用 tcpdump 截取数据报文的时候，默认会打印到屏幕的默认输出，你会看到按照顺序和格式，很多的数据一行行快速闪过，根本来不及看清楚所有的内容。不过，tcpdump 提供了把截取的数据保存到文件的功能，以便后面使用其他图形工具（比如 wireshark，Snort）来分析。

-w 选项用来把数据报文输出到文件，比如下面的命令就是把所有 80 端口的数据导入到文件

-r 可以读取文件里的数据报文，显示到屏幕上。

NOTE：保存到文件的数据不是屏幕上看到的文件信息，而是包含了额外信息的固定格式 pcap，需要特殊的软件（如： Wireshark ）来查看，使用 vim 或者 cat 命令会出现乱码。

过滤的真正强大之处在于你可以随意组合它们，而连接它们的逻辑就是常用的 与/AND/&&、 或/OR/|| 和 非/not/! 。

从上面的例子就可以看出，你可以随意地组合之前的过滤器来截取自己期望的数据报，最重要的就是知道自己要精确匹配的数据室怎样的！

对于比较复杂的过滤器表达式，为了逻辑的清晰，可以使用括号。不过默认情况下，tcpdump 把 () 当做特殊的字符，所以必须使用单引号 ' 来消除歧义：

抓取所有经过eth1，目的地址是192.168.1.254或192.168.1.200端口是80的TCP数

抓取所有经过eth1，目标MAC地址是00:01:02:03:04:05的ICMP数据

抓取所有经过eth1，目的网络是192.168，但目的主机不是192.168.1.200的TCP数据

截取数据只是第一步，第二步就是理解这些数据，下面就解释一下 tcpdump 命令输出各部分的意义。

最基本也是最重要的信息就是数据报的源地址/端口和目的地址/端口，上面的例子第一条数据报中，源地址 ip 是 192.168.1.106 ，源端口是 56166 ，目的地址是 124.192.132.54 ，目的端口是 80 。 > 符号代表数据的方向。

此外，上面的三条数据还是 tcp 协议的三次握手过程，第一条就是 SYN 报文，这个可以通过 Flags [S] 看出。下面是常见的 TCP 报文的 Flags:

而第二条数据的 [S.] 表示 SYN-ACK ，就是 SYN 报文的应答报文。

如果是为了查看数据内容，建议用 tcpdump -s 0 -w filename 把数据包都保存下来，然后用wireshark的Follow TCP Stream/Follow UDP Stream来查看整个会话的内容。 -s 0 是抓取完整数据包，否则默认只抓68字节。用tcpflow也可以方便的获取TCP会话内容，支持tcpdump的各种表达式。

-c 参数对于运维人员来说也比较常用，因为流量比较大的服务器，靠人工CTRL+C还是抓的太多，甚至导致服务器宕机，于是可以用 -c 参数指定抓多少个包。

上面的命令计算抓10000个SYN包花费多少时间，可以判断访问量大概是多少。

Wireshark(以前是ethereal)是Windows下非常简单易用的抓包工具。但在Linux下很难找到一个好用的图形化抓包工具。

还好有Tcpdump。我们可以用Tcpdump + Wireshark 的完美组合实现：在 Linux 里抓包，然后在Windows 里分析包。

0x4745 为"GET"前两个字母"GE"

0x4854 为"HTTP"前两个字母"HT"

tcpdump 对截获的数据并没有进行彻底解码，数据包内的大部分内容是使用十六进制的形式直接打印输出的。显然这不利于分析网络故障，通常的解决办法是先使用带 -w 参数的tcpdump 截获数据并保存到文件中，然后再使用其他程序(如 Wireshark )进行解码分析。当然也应该定义过滤规则，以避免捕获的数据包填满整个硬盘。

基本上tcpdump总的的输出格式为： 系统时间 来源主机.端口 >目标主机.端口 数据包参数

大部分 Linux 发行版都内置了 Tcpdump 工具。如果没有，也可以直接使用对应的包管理器进行安装（如： $ sudo apt-get install tcpdump 和 $ sudo yum install tcpdump ）

通过表达式可以对各种不同类型的网络流量进行过滤，以获取到需要的信息。这也是 tcpdump 强大功能的一个体现。

主要有 3 种类型的表达式：

指定网络接口 ：

# tcpdump -i <dev>

原始信息输出模式 ：

# tcpdump -ttttnnvvS

更详细的输出，不解析主机名和端口名，使用绝对序列号，方便阅读的时间戳

通过IP地址过滤 ：

# tcpdump host 10.2.64.1

HEX 输出

# tcpdump -nnvXSs 0 -c1 icmp

通过源地址和目标地址进行过滤

# tcpdump src 10.2.67.203

# tcpdump dst 10.2.67.203

通过子网进行过滤

# tcpdump net 10.2.64.0/24

监听指定端口号

# tcpdump port 515

指定协议

# tcpdmp icmp

端口范围

# tcpdump portrange 21-23

通过包大小过滤

# tcpdump less 32

# tcpdump greater 64

# tcpdump <= 128

写入 PCAP 文件

# tcpdump port 80 -w capture_file

读取 PCAP 文件

# tcpdump -r capture_file

可以通过命令选项的不同组合（使用 逻辑运算符 ）完成更复杂的任务。运算符包括以下3种：

# tcpdump src 10.2.64.29 and dst port 80

即捕捉从指定主机（10.2.64.92）发出，且目标端口为 80 的所有网络数据

# tcpdump src net 192.168.0.0/16 and dst net 10.0.0.0/8 or 172.16.0.0/16

即捕捉从指定子网（192.168.0.0/16）发送到目标子网（10.0.0.0/8 和 172.16.0.0/16）的所有网络数据

# tcpdump src 192.168.56.1 and not dst port 22

即捕捉从指定主机（192.168.56.1）发出，且目标端口不为 22 的所有网络数据

# tcpdump 'tcp[13] &32!=0' 所有 URGENT ( URG ) 包

# tcpdump 'tcp[13] &16!=0' 所有 ACKNOWLEDGE ( ACK ) 包

# tcpdump 'tcp[13] &8!=0' 所有 PUSH ( PSH ) 包

# tcpdump 'tcp[13] &4!=0' 所有 RESET ( RST ) 包

# tcpdump 'tcp[13] &2!=0' 所有 SYNCHRONIZE ( SYN ) 包

# tcpdump 'tcp[13] &1!=0' 所有 FINISH ( FIN ) 包

# tcpdump 'tcp[13]=18' 所有 SYNCHRONIZE/ACKNOWLEDGE ( SYNACK ) 包

其他指定标志位的方式如：

# tcpdump 'tcp[tcpflags] == tcp-syn'

# tcpdump 'tcp[tcpflags] == tcp-fin'

一些特殊的用法

# tcpdump 'tcp[13] = 6' RST 和 SYN 同时启用的数据包（不正常）

# tcpdump 'tcp[32:4] = 0x47455420' 获取 http GET 请求的文本

# tcpdump 'tcp[(tcp[12]>>2):4] = 0x5353482D' 获取任何端口的 ssh 连接（通过 banner 信息）

# tcpdump 'ip[8] <10' ttl 小于 10 的数据包（出现问题或 traceroute 命令）

# tcpdump 'ip[6] &128 != 0' 非常有可能是黑客入侵的情况

A tcpdump Tutorial and Primer with Examples

作为业界标准的捕获工具，tcpdump提供了强大而又灵活的包过滤功能。作为tcpdump基础的libpcap包捕获引擎支持标准的包过滤规则，如基于5重包头的过滤（如基于源/目的IP地址/端口和IP协议类型）。Linux网络十分有用的两个命令ip和TcpDump/Linux/2014-02/96993.htmtcpdump/libpcap的包过滤规则也支持通用分组表达式，在这些表达式中，包中的任意字节范围都可以使用关系或二进制 *** 作符进行检查。对于字节范围表达，你可以使用以下格式：proto[expr:size]“proto”可以是熟知的协议之一（如ip，arp，tcp，udp，icmp，ipv6），“expr”表示与指定的协议头开头相关的字节偏移量。有我们熟知的直接偏移量如tcpflags，也有取值常量如tcp-syn，tcp-ack或者tcp-fin。“size”是可选的，表示从字节偏移量开始检查的字节数量。使用这种格式，你可以像下面这样过滤TCPSYN，ACK或FIN包。只捕获TCPSYN包：#tcpdump-i"tcp[tcpflags]&(tcp-syn)!=0"只捕获TCPACK包：#tcpdump-i"tcp[tcpflags]&(tcp-ack)!=0"只捕获TCPFIN包：#tcpdump-i"tcp[tcpflags]&(tcp-fin)!=0"之捕获TCPSYN或ACK包：#tcpdump-r"tcp[tcpflags]&(tcp-syn|tcp-ack)!=0"

---