一、tcpdump介绍

tcpdump 是一个Linux的网络抓包工具。它允许用户拦截和显示发送或收到过网络连接到该计算机的TCP/IP和其他数据包。tcpdump 适用于大多数的类Unix系统操作系统(如linux,BSD等)。

二、安装&用法说明

1）安装

$ yum -y install tcpdump

2）用法说明
tcpdump采用命令行方式，它的命令格式为

tcpdump [ -DenNqvX ] [ -c count ] [ -F file ] [ -i interface ] [ -r file ] [ -s snaplen ] [ -w file ] [ expression ]

抓包选项：

• -c：指定要抓取的包数量。注意，是最终要获取这么多个包。例如，指定"-c 10"将获取10个包，但可能已经处理了100个包，只不过只有10个包是满足条件的包。

• -i interface：指定tcpdump需要监听的接口。若未指定该选项，将从系统接口列表中搜寻编号最小的已配置好的接口(不包括loopback接口，要抓取loopback接口使用tcpdump -i lo)，一旦找到第一个符合条件的接口，搜寻马上结束。可以使用’any’关键字表示所有网络接口。

• -n：对地址以数字方式显式，否则显式为主机名，也就是说-n选项不做主机名解析。

• -nn：除了-n的作用外，还把端口显示为数值，否则显示端口服务名。

• -N：不打印出host的域名部分。例如tcpdump将会打印’nic’而不是’nic.ddn.mil’。

• -P：指定要抓取的包是流入还是流出的包。可以给定的值为"in"、“out"和"inout”，默认为"inout"。

• -s len：设置tcpdump的数据包抓取长度为len，如果不设置默认将会是65535字节。对于要抓取的数据包较大时，长度设置不够可能会产生包截断，若出现包截断，输出行中会出现"[|proto]"的标志(proto实际会显示为协议名)。但是抓取len越长，包的处理时间越长，并且会减少tcpdump可缓存的数据包的数量，从而会导致数据包的丢失，所以在能抓取我们想要的包的前提下，抓取长度越小越好。-s0:防止包截断。

输出选项：

• -e：输出的每行中都将包括数据链路层头部信息。例如源MAC和目标MAC。

• -q：快速打印输出。即打印很少的协议相关信息，从而输出行都比较简短。

• -X：输出包的头部数据，会以16进制和ASCII两种方式同时输出。

• -A ：打印数据报文的 ASCII 值

• -XX：输出包的头部数据，会以16进制和ASCII两种方式同时输出，更详细。

• -v：当分析和打印的时候，产生详细的输出。

• -vv：产生比-v更详细的输出。

• -vvv：产生比-vv更详细的输出。

其他功能性选项：

• -D：列出可用于抓包的接口。将会列出接口的数值编号和接口名，它们都可以用于"-i"后。

• -F：从文件中读取抓包的表达式。若使用该选项，则命令行中给定的其他表达式都将失效。

• -w：将抓包数据输出到文件中而不是标准输出。可以同时配合"-G time"选项使得输出文件每time秒就自动切换到另一个文件。可通过"-r"选项载入这些文件以进行分析和打印。

• -r：从给定的数据包文件中读取数据。使用"-"表示从标准输入中读取。

三种修饰符：

• type：指定ID的类型。

可以给定的值有host/net/port/portrange。例如"host foo"，“net 128.3”，“port 20”，“portrange 6000-6008”。默认的type为host。

• dir：指定ID的方向。

可以给定的值包括src/dst/src or dst/src and dst，默认为src or dst。例如，"src foo"表示源主机为foo的数据包，"dst net 128.3"表示目标网络为128.3的数据包，"src or dst port 22"表示源或目的端口为22的数据包。

• proto：通过给定协议限定匹配的数据包类型。

常用的协议有tcp/udp/arp/ip/ether/icmp等，若未给定协议类型，则匹配所有可能的类型。例如"tcp port 21"，“udp portrange 7000-7009”。

三、tcpdump示例

3.1、默认启动，不带参数

$ tcpdump

默认情况下，直接启动tcpdump将监视第一个网络接口(非lo口)上所有流通的数据包。这样抓取的结果会非常多，滚动非常快。

3.2、tcpdump -D 命令列出可以抓包的网络接口

$ tcpdump -D

[root@localhost ~]# tcpdump -D
1.enp0s3 [Up, Running]
2.enp0s8 [Up, Running]
3.lo [Up, Running, Loopback]
4.any (Pseudo-device that captures on all interfaces) [Up, Running]
5.docker0 [Up]
6.virbr0 [Up]
7.bluetooth-monitor (Bluetooth Linux Monitor) [none]
8.nflog (Linux netfilter log (NFLOG) interface) [none]
9.nfqueue (Linux netfilter queue (NFQUEUE) interface) [none]
10.usbmon0 (Raw USB traffic, all USB buses) [none]
11.usbmon1 (Raw USB traffic, bus number 1)
12.virbr0-nic [none]

3.4、监视指定网络接口的数据包

$ tcpdump -i ens33

[root@localhost ~]# tcpdump -i enp0s3
dropped privs to tcpdump
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on enp0s3, link-type EN10MB (Ethernet), capture size 262144 bytes

如果不指定网卡，默认tcpdump只会监视第一个网络接口，如ens33。

3.5、对本机的udp 123端口进行监视(123为ntp的服务端口)

$ tcpdump udp port 123

3.6、监视指定网络的数据包，如本机与192.168网段通信的数据包，"-c 10"表示只抓取10个包

$ tcpdump -c 10 net 192.168

3.7、抓取ping包

$ tcpdump -c 5 -nn -i ens33 icmp

图片

如果明确要抓取主机为192.168.182.130对本机的ping，则使用and操作符。

$ tcpdump -c 5 -nn -i ens33 icmp and src 192.168.182.130

[root@localhost ~]# tcpdump -c 5 -nn -i enp0s8 icmp and src 10.1.0.9
dropped privs to tcpdump
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on enp0s8, link-type EN10MB (Ethernet), capture size 262144 bytes
03:54:38.755221 IP 10.1.0.9 > 10.1.0.8: ICMP echo request, id 3406, seq 1, length 64
03:54:39.806249 IP 10.1.0.9 > 10.1.0.8: ICMP echo request, id 3406, seq 2, length 64
03:54:40.808812 IP 10.1.0.9 > 10.1.0.8: ICMP echo request, id 3406, seq 3, length 64
03:54:41.812041 IP 10.1.0.9 > 10.1.0.8: ICMP echo request, id 3406, seq 4, length 64
03:54:42.814696 IP 10.1.0.9 > 10.1.0.8: ICMP echo request, id 3406, seq 5, length 64
5 packets captured
5 packets received by filter
0 packets dropped by kernel

注意不能直接写icmp src 192.168.182.130，因为icmp协议不支持直接应用host这个type。

3.9、抓取到本机22端口包

$ tcpdump -c 10 -nn -i bond0 tcp dst port 22

4.0、解析包数据

$ tcpdump -c 2 -q -XX -vvv -nn -i bond0 tcp dst port 22

图片

4.1、参数只抓取和特定主机相关的数据包

$ tcpdump -i any -c5 -nn host 192.168.182.152
$ tcpdump -i any -c5 -nn host 192.168.182.130

4.2、保存抓包数据

tcpdump 提供了保存抓包数据的功能以便后续分析数据包，也可以利用wireshark等图形化工具进行分析。

1）使用 -w 选项来保存数据包而不是在屏幕上显示出抓取的数据包

$ tcpdump -i any -c10 -nn -w webserver.pcap port 22

该命令将抓取的数据包保存到文件 webserver.pcap。后缀名 pcap 表示文件是抓取的数据包格式。

2）tcpdump 将数据包保存在二进制文件中，所以不能简单的用文本编辑器去打开它。使用 -r 选项参数来阅读该文件中的报文内容

$ tcpdump -nn -r webserver.pcap

【温馨提示】一般tcpdump抓的网络包会使用wireshark图形化工具来分析，使用wireshark分析网络包更加清晰方便