tcpdump 使用手册

摘要

本文详细介绍了网络抓包工具tcpdump的使用方法，涵盖安装与基础使用、核心参数详解、高级用法、实战技巧及注意事项。通过实例演示，帮助读者快速掌握tcpdump，提升网络故障排查和安全分析能力。

一、安装与基础使用

1.1 安装

tcpdump是Linux/Unix系统下的经典网络抓包工具，通常预装在大多数发行版中。若未安装，可通过包管理器快速安装：

# Debian/Ubuntu
sudo apt-get install tcpdump
# CentOS/RHEL
sudo yum install tcpdump

1.2 基础抓包

启动tcpdump最简单的方式是直接运行命令，默认抓取第一个非环回接口的流量：

sudo tcpdump

此命令会持续抓包，按Ctrl+C停止。输出包含时间戳、源/目的IP、协议、端口及数据包摘要。

1.3 指定接口

若需抓取特定接口（如eth0）的流量，使用-i参数：

sudo tcpdump -i eth0

二、核心参数详解

2.1 过滤表达式

tcpdump的强大之处在于其过滤功能，通过表达式精准抓取目标流量。

主机过滤

抓取与特定主机相关的流量：

# 抓取源或目的IP为192.168.1.1的包
sudo tcpdump host 192.168.1.1
# 仅抓取源IP为192.168.1.1的包
sudo tcpdump src host 192.168.1.1
# 仅抓取目的IP为192.168.1.1的包
sudo tcpdump dst host 192.168.1.1

端口过滤

抓取特定端口的流量：

# 抓取80端口的流量（HTTP）
sudo tcpdump port 80
# 抓取源或目的端口为22的包（SSH）
sudo tcpdump port 22
# 抓取端口范围（如1000-2000）
sudo tcpdump portrange 1000-2000

协议过滤

抓取特定协议的流量：

# 抓取ICMP包（ping）
sudo tcpdump icmp
# 抓取TCP包
sudo tcpdump tcp
# 抓取UDP包
sudo tcpdump udp

逻辑组合

使用and、or、not组合多个条件：

# 抓取源IP为192.168.1.1且目的端口为80的包
sudo tcpdump src host 192.168.1.1 and dst port 80
# 抓取端口为80或443的包
sudo tcpdump port 80 or port 443
# 抓取非80端口的TCP包
sudo tcpdump tcp and not port 80

2.2 输出控制

限制抓包数量

使用-c参数限制抓包数量：

# 抓取10个包后停止
sudo tcpdump -c 10

详细输出

使用-v、-vv、-vvv增加输出详细程度：

# 详细输出（包含TTL、标识符等）
sudo tcpdump -v
# 更详细输出（包含数据包负载的十六进制和ASCII表示）
sudo tcpdump -vv

十六进制输出

使用-X或-XX显示数据包负载的十六进制和ASCII表示：

# 显示十六进制和ASCII
sudo tcpdump -X
# 显示包括链路层头部的十六进制和ASCII
sudo tcpdump -XX

三、高级用法

3.1 保存到文件

将抓包结果保存到文件，后续用tcpdump或Wireshark分析：

# 保存到文件（默认pcap格式）
sudo tcpdump -w capture.pcap
# 从文件读取
sudo tcpdump -r capture.pcap

3.2 抓取特定大小的数据包

使用-s参数指定抓包长度（字节）：

# 抓取前96字节（默认）
sudo tcpdump -s 96
# 抓取完整数据包（通常用于分析大包）
sudo tcpdump -s 0

3.3 抓取特定方向的流量

结合src和dst过滤特定方向的流量：

# 抓取从192.168.1.1发出的流量
sudo tcpdump src host 192.168.1.1
# 抓取发往192.168.1.1的流量
sudo tcpdump dst host 192.168.1.1

四、实战技巧

4.1 排查HTTP请求

抓取HTTP请求的URL和Host头：

sudo tcpdump -nn -A -s0 port 80 | grep "Host: \|GET \|POST "

• -nn：禁用域名和服务名解析，直接显示IP和端口。
• -A：以ASCII格式显示数据包负载。
• -s0：抓取完整数据包。

4.2 分析DNS查询

抓取DNS查询和响应：

sudo tcpdump -i eth0 udp port 53

4.3 监控SSH连接

抓取SSH连接的登录行为：

sudo tcpdump -nn port 22 and "tcp[tcpflags] & (tcp-syn|tcp-ack) == tcp-syn"

此命令过滤TCP SYN包，标识新连接。

五、注意事项

1. 权限问题：tcpdump需要root权限或CAP_NET_RAW能力，通常通过sudo运行。
2. 性能影响：高流量环境下抓包可能丢包，建议限制抓包数量或使用-s减少抓包大小。
3. 隐私合规：抓包可能涉及敏感数据，确保符合法律法规和公司政策。
4. 过滤优化：复杂过滤表达式可能影响性能，尽量简化条件。

六、总结

tcpdump是网络故障排查和安全分析的利器，通过灵活的过滤表达式和输出控制，可精准抓取目标流量。本文介绍了基础用法、核心参数、高级技巧及实战案例，帮助读者快速掌握tcpdump，提升工作效率。