tcpdump 是 Unix/Linux 下的抓包工具，在 macOS 上也有实现。这个命令可以针对指定网卡、端口、协议进行抓包，这里记录下使用方法。

一、获取适配器列表

使用 -D 或 --list-interfaces 参数

$ tcpdump -D

得到如下结果：

1.en0 [Up, Running]

2.p2p0 [Up, Running]

3.awdl0 [Up, Running]

4.bridge0 [Up, Running]

5.utun0 [Up, Running]

6.en1 [Up, Running]

7.utun1 [Up, Running]

8.en2 [Up, Running]

9.utun2 [Up, Running]

10.lo0 [Up, Running, Loopback]

11.gif0

12.stf0

13.XHC20

其中的适配器名称部分，可以使用 -i 参数监听此适配器的通讯。

二、监听适配器

使用 -i 或 --interface 参数监听适配器，适配器可以用序号或名字来表示，这些内容可以通过 -D 参数获取。macOS 下监听适配器的话，必须使用 root 权限。

如果需要详细查看报内容，可以使用 -X 参数。

# 监听适配器 en0 的通讯

$ sudo tcpdump -i en0

# 或者使用 --interface 参数

$ sudo tcpdump --interface en0

# 或者使用 --interface= 参数，效果一样

$ sudo tcpdump --interface=en0

三、监听适配器过滤

使用 -D 参数拿到适配器列表后，结合 -i 参数就可以监听适配器了。但是这样的话会监听到所有的通讯，可以根据需要，针对感兴趣的内容进行过滤。

1、过滤主机

抓取所有经过 eth1，目的或源地址是 192.168.1.1 的网络数据

$ sudo tcpdump -i eth1 host 192.168.1.1

源地址

$ sudo tcpdump -i eth1 src host 192.168.1.1

目的地址

$ sudo tcpdump -i eth1 dst host 192.168.1.1

2、过滤端口

抓取所有经过 eth1，目的或源端口是 25 的网络数据

$ sudo tcpdump -i eth1 port 25

源端口

$ sudo tcpdump -i eth1 src port 25

目的端口

$ sudo tcpdump -i eth1 dst port 25

3、过滤网段

抓取所有经过 eth1，目的或源网段是 192.168 的网络数据

$ sudo tcpdump -i eth1 net 192.168

源网段

$ sudo tcpdump -i eth1 src net 192.168

目的网段

$ sudo tcpdump -i eth1 dst net 192.168

4、协议过滤

$ sudo tcpdump -i eth1 arp

$ sudo tcpdump -i eth1 ip

$ sudo tcpdump -i eth1 tcp

$ sudo tcpdump -i eth1 udp

$ sudo tcpdump -i eth1 icmp

5、使用表达式

与：&& 或 and

或：|| 或 or

非：! 或 not

四、选项

tcpdump 的选项也很多，要想知道所有选项的话，请参考 man tcpdump，下面只记录 tcpdump 最常用的选项。

需要注意的是，tcpdump 默认只会截取前 96 字节的内容，要想截取所有的报文内容，可以使用 -s number， number 就是你要截取的报文字节数，如果是 0 的话，表示截取报文全部内容。

-n 表示不要解析域名，直接显示 ip。

-nn 不要解析域名和端口

-X 同时用 hex 和 ascii 显示报文的内容。

-XX 同 -X，但同时显示以太网头部。

-S 显示绝对的序列号(sequence number)，而不是相对编号。

-i any 监听所有的网卡

-v, -vv, -vvv：显示更多的详细信息

-c number: 截取 number 个报文，然后结束

-A： 只使用 ascii 打印报文的全部数据，不要和 -X 一起使用。截取 http 请求的时候可以用 sudo tcpdump -nSA port 80！

tcpdump Flags:

TCP Flag

tcpdump Flag

Meaning

SYN

[S]

Syn packet, a session establishment request.

ACK

[A]

Ack packet, acknowledge sender’s data.

FIN

[F]

Finish flag, indication of termination.

RESET

[R]

Reset, indication of immediate abort of conn.

PUSH

[P]

Push, immediate push of data from sender.

URGENT

[U]

Urgent, takes precedence over other data.

NONE

[.]

Placeholder, usually used for ACK.

六、实例

抓取所有经过 eth1，目的地址是 192.168.1.254 或 192.168.1.200 端口是 80 的 TCP 数据

$ sudo tcpdump -i eth1 '((tcp) and (port 80) and ((dst host 192.168.1.254) or (dst host

192.168.1.200)))'

抓取所有经过 eth1，目标 MAC 地址是 00:01:02:03:04:05 的 ICMP 数据

$ sudo tcpdump -i eth1 '((icmp) and ((ether dst host 00:01:02:03:04:05)))'

抓取所有经过 eth1，目的网络是 192.168，但目的主机不是 192.168.1.200 的 TCP 数据

$ sudo tcpdump -i eth1 '((tcp) and ((dst net 192.168) and (not dst host 192.168.1.200)))'

只抓 SYN 包

$ sudo tcpdump -i eth1 'tcp[tcpflags] = tcp-syn'

抓 SYN, ACK

$ sudo tcpdump -i eth1 'tcp[tcpflags] & tcp-syn != 0 and tcp[tcpflags] & tcp-ack != 0'

抓 SMTP 数据

抓取数据区开始为 MAIL 的包，MAIL 的十六进制为 0x4d41494c。

$ sudo tcpdump -i eth1 '((port 25) and (tcp[(tcp[12]>>2):4] = 0x4d41494c))'

抓 HTTP GET 数据

GET(注意后面有空格)的十六进制是 0x47455420

$ sudo tcpdump -i eth1 'tcp[(tcp[12]>>2):4] = 0x47455420'

抓 SSH 返回

SSH- 的十六进制是 0x5353482D

$ sudo tcpdump -i eth1 'tcp[(tcp[12]>>2):4] = 0x5353482D'

抓老版本的 SSH 返回信息，如 SSH-1.99..

$ sudo tcpdump -i eth1 '(tcp[(tcp[12]>>2):4] = 0x5353482D) and (tcp[((tcp[12]>>2)+4):2] = 0x312E)'

抓 DNS 请求数据

$ sudo tcpdump -i eth1 udp dst port 53

其他

-c 参数对于运维人员来说也比较常用，因为流量比较大的服务器，靠人工 CTRL+C 还是抓的太多，于是可以用 -c 参数指定抓多少个包。

$ sudo time tcpdump -nn -i eth0 'tcp[tcpflags] = tcp-syn' -c 10000 > /dev/null

上面的命令计算抓 10000 个 SYN 包花费多少时间，可以判断访问量大概是多少。

实时抓取端口号 8000 的 GET 包，然后写入 GET.log

$ sudo tcpdump -i eth0 '((port 8000) and (tcp[(tcp[12]>>2):4]=0x47455420))' -nnAl -w /tmp/GET.log

七、补充说明

测试过程中，发现本机发出的请求没有被抓到，不知道是参数设置问题还是什么，暂时先把疑问记录下来。

八、参考资料

(完)