Linux中的抓包工具tcpdump使用简介

tcpdump是一个用于截取网络分组，并输出分组内容的工具。tcpdump凭借强大的功能和灵活的截取策略，使其成为类UNIX系统下用于网络分析和问题排查的首选工具。

tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤，并提供and、or、not等逻辑语句来帮助你去掉无用的信息。

tcpdump [-nn] [-i 接口] [-w 储存档名] [-c 次数] [-Ae] [-qX] [-r 文件] [过滤所欲捕获的数据内容的表达式]

-n 不把网络地址转换成名字。

-nn，直接以 IP 及 Port Number 显示，而非主机名与服务名称。

-i，后面接要「监听」的网络接口，例如 eth0, lo, ppp0 等等的接口。

-w，如果你要将监听所得的数据包数据储存下来，用这个参数就对了。后面接文件名。

-c，监听的数据包数，如果没有这个参数， tcpdump 会持续不断的监听，

-A，数据包的内容以 ASCII 显示，通常用来捉取 WWW 的网页数据包资料。

-e，使用资料连接层 (OSI 第二层) 的 MAC 数据包数据来显示。

-q，仅列出较为简短的数据包信息，每一行的内容比较精简。

-X，可以列出十六进制 (hex) 以及 ASCII 的数据包内容，对于监听数据包内容很有用。

-r，从后面接的文件将数据包数据读出来。那个「文件」是已经存在的文件，并且这个「文件」是由 -w 所制作出来的。

-F 从指定的文件中读取表达式，忽略命令行中给出的表达式。

-b 在数据-链路层上选择协议，包括ip、arp、rarp、ipx都是这一层的。

-N 不输出主机名中的域名部分。例如，‘nic.ddn.mil‘只输出’nic‘。

-t 在输出的每一行不打印时间戳。

-s 从每个分组中读取最开始的snaplen个字节，而不是默认的68个字节。

-t 不在每一行中输出时间戳。

-tttt 在每一行中输出由date处理的默认格式的时间戳。

-v 输出一个稍微详细的信息，例如在ip包中可以包括ttl和服务类型的信息。

-vv 输出详细的报文信息。

过滤所欲捕获的数据内容的表达式：我们可以专门针对某些通信协议或者是 IP 来源进行数据包捕获。简化输出的结果，并取得最有用的信息。在表达式中一般如下几种类型的关键字：

第一种是关于类型的关键字，主要包括host，net，port，例如 host 210.27.48.2， 指明 210.27.48.2是一台主机，net 202.0.0.0指明202.0.0.0是一个网络地址，port 23 指明端口号是23。如果没有指定类型，缺省的类型是host。

第二种是确定传输方向的关键字，主要包括src，dst，dst or src，dst and src， 这些关键字指明了传输的方向。举例说明，src 210.27.48.2 ，指明ip包中源地址， dst net 202.0.0.0 指明目的网络地址。如果没有指明 方向关键字，则缺省是src or dst关键字。

第三种是协议的关键字，主要包括fddi，ip，arp，rarp，tcp，udp等类型。Fddi指明是在FDDI (分布式光纤数据接口网络)上的特定的网络协议，实际上它是”ether”的别名，fddi和ether 具有类似的源地址和目的地址，所以可以将fddi协议包当作ether的包进行处理和分析。 其他的几个关键字就是指明了监听的包的协议内容。如果没有指定任何协议，则tcpdump 将会 监听所有协议的信息包。

除了这三种类型的关键字之外，其他重要的关键字如下：gateway， broadcast，less， greater， 还有三种逻辑运算，取非运算是 ‘not ‘ ‘! ‘， 与运算是’and’，’&&‘;或运算是’or’ ，’||’; 这些关键字可以组合起来构成强大的组合条件来满足人们的需要。