tcpdump命令使用总结

命令说明

tcpdump命令是linux系统中分析网络问题的重要抓包工具，为了方便分析问题，我们还需要借助Wireshark工具进行分析；

命令安装

yum install tcpdump

命令选项说明

抓包
-c    指定要抓取的包数量（满足条件的）
-i    interface    指定监听的网卡lo    环回口any    所有接口
-n    不反解主机名
-nn    不反解主机名和端口号
-P    指定要抓取流入还是流出的包        in、out、inout    默认inout
输出
-e    输出的每行都将包括数据链路层头部信息
-q    快速打印
-x    输出包的头部数据    16进制ASCII同时输出
-xx    更详细
-v    详细的输出    -vv   -vvv
其他
-D    列出可用于抓包的接口
-F    从文件中读取抓包的表达式
-w    将抓包数据输出到文件中
-r    从指定的数据包中读取数据
-s number tcpdump默认只会截取前96字节的内容，要想截取所有的报文内容，就需要使用这个选项其中number是需要截取的报文字节数，如果是0的话，表示截取报文全部内容

过滤器

在服务器上的网络报文是异常的多，很多时候我们只关注和具体问题有关的数据报文，而这些有用的报文只占到很小的一部分，为了不让我们在报文的海洋里迷失自己，我们就非常有必要学习一下tcpdump提供的灵活而且功能强大的过滤器。

过滤器也可以简单地分为三类：type，dir和proto。

type
主要用来区分过滤报文源类型，主要由host主机报文，net网段报文和port指定端口的报文组成；
dir
只过滤报文的源地址和目的地址，主要包括src源地址和dst目的地址；
proto
只过滤报文的协议类型，支持tcp、udp、arp、ip、ether、icmp；使用的时候可以省略proto关键字,例如：tcpdump -i eth1 icmp

组合条件

在茫茫网络中，想要找到那个你想要的网络包，还是有一定难度的。为了抓住那个我们想要的网络包，在我们抓包命令中，包含越多的限制条件，抓的无关包就会越少，所以在进行抓包时，可以使用以下操作：

与 and、&&
或 or、||
非 not、!

使用实例

命令：tcpdump -i eth0
说明：监视指定网络接口的数据包
命令：tcpdump host 210.27.48.3
说明：截获210.27.48.3主机收到的和发出的所有数据包
命令：tcpdump host 210.27.48.4 and (210.27.48.5 or 210.27.48.6)
说明：截获210.27.48.3主机和210.27.48.5或者210.27.48.6主机进行通信的所有数据包
命令：tcpdump -i eth0 src host 210.27.48.3
说明：监视eth0网卡上源地址是210.27.48.3的所有网络包
命令：tcpdump -i eth0 dst host 210.27.48.3
说明：监视eth0网卡上目的地址是210.27.48.3的所有网络包
命令：tcpdump tcp port 23 and host 210.27.48.3
说明：获取主机210.27.48.3上端口为23的应用发出和接收的所有TCP协议包
命令：tcpdump udp port 123
说明：获取本机123端口发出和接收的所有UDP协议包

为了便于分析，我们需要将抓到的包保存到pcap文件，用Wireshark软件进行进一步分析，保存到文件的参数为-w，用法如下：

命令：tcpdump -i eth0 -s0 -G 60 -Z root -w %Y_%m%d_%H%M_%S.pcap
说明：抓取报文后按照指定时间间隔保存；-G选项后面接时间，单位为秒；上述命令就是每隔60秒生存一个文件
命令：tcpdump -i eth0 -s0 -C 1 -Z root -w eth0Packet.pcap
说明：抓取报文后按照指定报文大小保存；-C选项后接文件大小，单位为MB；上述命令就是每抓包文件达到1MB时就使用一个新的文件保存新抓的报文

man pcap-filter

高级过滤方式

了解如何从包头过滤信息

proto[x:y]          : 过滤从x字节开始的y字节数。比如ip[2:2]过滤出3、4字节（第一字节从0开始排）
proto[x:y] & z = 0  : proto[x:y]和z的与操作为0
proto[x:y] & z !=0  : proto[x:y]和z的与操作不为0
proto[x:y] & z = z  : proto[x:y]和z的与操作为z
proto[x:y] = z      : proto[x:y]等于z

支持的操作符

>, <, >=, <=, =, !=

IP头（IPV4）

0                   1                   2                   3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|Version|  IHL  |Type of Service|          Total Length         |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|         Identification        |Flags|      Fragment Offset    |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|  Time to Live |    Protocol   |         Header Checksum       |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|                       Source Address                          |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|                    Destination Address                        |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|                    Options                    |    Padding    | <-- optional
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|                            DATA ...                           |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

/*IP头定义，共20个字节*/
typedef struct _IP_HEADER
{char m_cVersionAndHeaderLen;     　　//版本信息(前4位)，头长度(后4位)char m_cTypeOfService;      　　　　　 // 服务类型8位short m_sTotalLenOfPacket;    　　　　//数据包长度short m_sPacketID;      　　　　　　　 //数据包标识short m_sSliceinfo;      　　　　　　　  //分片使用char m_cTTL;        　　　　　　　　　　//存活时间char m_cTypeOfProtocol;    　　　　　 //协议类型short m_sCheckSum;      　　　　　　 //校验和unsigned int m_uiSourIp;     　　　　　//源ipunsigned int m_uiDestIp;     　　　　　//目的ip
} __attribute__((packed))IP_HEADER, *PIP_HEADER ;

抓取特定包头实例

抓取源端口大于1024的TCP数据包
tcpdump -i eth1 'tcp[0:2] > 1024'
只抓SYN包，第十四字节是二进制的00000010，也就是十进制的2
tcpdump -i eth1 'tcp[13] = 2'
抓SYN, ACK （00010010 or 18）
tcpdump -i eth1 'tcp[13] = 18'
抓所有包含FIN标记的包（FIN通常和ACK一起，表示幽会完了，回见）
tcpdump -i eth1 'tcp[13] & 1 = 1'
抓RST
tcpdump -i eth1 'tcp[13] & 4 = 4'

常用的字段偏移名字

tcpdump考虑了一些数字恐惧症者的需求，提供了部分常用的字段偏移名字：

icmptype (ICMP类型字段)
icmpcode (ICMP符号字段)
tcpflags (TCP标记字段)

TCP标记值：
tcp-fin, tcp-syn, tcp-rst, tcp-push, tcp-push, tcp-ack, tcp-urg

这样上面按照TCP标记位抓包的就可以写直观的表达式了：

只抓SYN包
tcpdump -i eth1 'tcp[tcpflags] = tcp-syn'
使用tcpdump抓取HTTP包
tcpdump -XvvennSs 0 -i eth0 tcp[20:2]=0x4745 or tcp[20:2]=0x4854
0x4745 为"GET"前两个字母"GE",0x4854 为"HTTP"前两个字母"HT"。

更多用法请使用以下命令查阅：

man pcap-filter //查看过滤器相关资料
tcpdump --help  //tcpdump命令用法