tcpdump 使用手册：从入门到精通的网络抓包指南

摘要

tcpdump 是一款基于命令行的网络抓包工具，支持在 Linux/Unix 系统中捕获和分析网络流量。本文从基础命令、过滤表达式、输出格式解析到高级实战场景，系统梳理了 tcpdump 的核心功能与使用技巧，结合真实案例帮助开发者快速定位网络问题，提升故障排查效率。

一、tcpdump 基础入门

1.1 工具安装与启动

tcpdump 通常预装在大多数 Linux 发行版中，若未安装可通过包管理器安装：

# Debian/Ubuntu
sudo apt-get install tcpdump
# CentOS/RHEL
sudo yum install tcpdump

启动 tcpdump 最简单的方式是直接运行命令，默认捕获第一个非环回接口的流量：

sudo tcpdump

关键参数说明：

• -i <interface>：指定网卡（如 eth0、ens33），默认自动选择。
• -n：禁用域名解析，直接显示 IP 地址。
• -nn：进一步禁用端口号解析（如 80→http）。
• -c <count>：捕获指定数量的包后退出（如 -c 10 捕获 10 个包）。

1.2 基本捕获示例

示例 1：捕获所有经过 eth0 网卡的流量（显示 IP 和端口）：

sudo tcpdump -i eth0 -nn

示例 2：捕获 10 个包后停止，并保存到文件：

sudo tcpdump -i eth0 -c 10 -w capture.pcap

示例 3：从文件中读取抓包数据并显示：

sudo tcpdump -r capture.pcap

二、过滤表达式：精准捕获目标流量

tcpdump 的核心能力在于通过过滤表达式筛选特定流量，表达式由 协议、方向、主机、端口 等组合构成。

2.1 基础过滤语法

• 主机过滤：

  tcpdump host 192.168.1.100       # 捕获与指定 IP 相关的流量
  tcpdump src 192.168.1.100       # 仅捕获源 IP 为 192.168.1.100 的包
  tcpdump dst 192.168.1.100       # 仅捕获目标 IP 为 192.168.1.100 的包

• 网络过滤：

  tcpdump net 192.168.1.0/24      # 捕获整个子网的流量

• 端口过滤：

  tcpdump port 80                 # 捕获 80 端口的流量（HTTP）
  tcpdump src port 22             # 仅捕获源端口为 22 的包（SSH 出站）
  tcpdump dst port 443            # 仅捕获目标端口为 443 的包（HTTPS）

• 协议过滤：

  tcpdump icmp                    # 捕获 ICMP 包（Ping）
  tcpdump arp                     # 捕获 ARP 请求/响应
  tcpdump udp                     # 捕获 UDP 流量

2.2 逻辑组合过滤

通过 and、or、not 组合多个条件：

tcpdump host 192.168.1.100 and port 80      # 捕获 192.168.1.100 的 80 端口流量
tcpdump port 80 or port 443               # 捕获 80 或 443 端口的流量
tcpdump not arp                           # 排除 ARP 包

2.3 高级过滤场景

场景 1：捕获 HTTP GET 请求（需结合内容过滤）：

tcpdump -i eth0 -nn -A port 80 | grep "GET"

场景 2：捕获 DNS 查询：

tcpdump -i eth0 udp port 53

场景 3：捕获特定源 IP 到目标端口的流量：

tcpdump -i eth0 src 192.168.1.100 and dst port 3306

三、输出格式解析与控制

3.1 默认输出字段

tcpdump 默认输出包含以下字段：

12:34:56.789012 IP 192.168.1.100.54321 > 192.168.1.200.80: Flags [S], seq 123456789, win 64240, length 0

• 时间戳：12:34:56.789012（精确到微秒）。
• 协议：IP（可显示为 TCP、UDP 等）。
• 源地址与端口：192.168.1.100.54321。
• 目标地址与端口：192.168.1.200.80。
• 标志位：Flags [S]（S=SYN, P=PSH, F=FIN）。
• 序列号：seq 123456789。
• 窗口大小：win 64240。
• 数据长度：length 0。

3.2 自定义输出格式

• -v、-vv、-vvv：增加输出详细程度（如显示 TTL、IP 选项）。
• -e：显示链路层头部（MAC 地址）。
• -q：快速输出（简化协议信息）。
• -A：以 ASCII 格式显示数据（适合 HTTP 请求）。
• -X：以十六进制和 ASCII 格式显示数据。

示例：以十六进制显示数据并捕获 10 个包：

sudo tcpdump -i eth0 -c 10 -X port 80

四、高级实战场景

4.1 捕获特定 HTTP 请求

目标：捕获包含 /api/login 的 HTTP POST 请求。

sudo tcpdump -i eth0 -nn -A -s 0 port 80 | grep -i "POST /api/login"

• -s 0：捕获完整数据包（避免截断）。
• -A：以 ASCII 格式显示数据。

4.2 分析 DNS 解析失败问题

目标：检查 DNS 查询是否成功。

sudo tcpdump -i eth0 udp port 53 -vv

• 观察响应中是否包含 NOERROR（成功）或 NXDOMAIN（域名不存在）。

4.3 检测端口扫描行为

目标：捕获对本地主机的端口扫描（如 Nmap 扫描）。

sudo tcpdump -i eth0 "src host 192.168.1.100 and (tcp[tcpflags] & (tcp-syn) != 0)"

• 过滤 SYN 包，检测异常连接请求。

五、性能优化与注意事项

1. 权限问题：tcpdump 需要 root 权限，可通过 sudo 或设置 cap_net_raw 能力。
2. 网卡选择：明确指定网卡（如 -i eth0），避免捕获无关流量。
3. 数据量控制：
   • 使用 -c 限制包数量。
   • 使用 -s 设置抓包长度（如 -s 96 捕获前 96 字节）。
4. 存储优化：保存为 .pcap 文件后用 Wireshark 分析，避免实时显示性能开销。
5. 时间同步：确保主机时间准确，便于分析时间序列问题。

六、常见问题解答

Q1：为什么捕获不到流量？

• 检查网卡是否正确（tcpdump -D 列出所有网卡）。
• 确认过滤条件是否过于严格（如 host 和 port 同时限制）。

Q2：如何捕获双向流量？

• 默认捕获双向流量，若需排除特定方向，使用 src 或 dst。

Q3：tcpdump 与 Wireshark 的区别？

• tcpdump：轻量级命令行工具，适合快速抓包和脚本集成。
• Wireshark：图形化工具，支持深度协议分析和可视化。

七、总结

tcpdump 是网络故障排查的利器，通过灵活的过滤表达式和输出控制，可高效定位协议错误、性能瓶颈和安全攻击。建议开发者结合 -w 保存抓包文件，再通过 Wireshark 进行离线分析，以兼顾实时性和分析深度。掌握 tcpdump 后，网络调试将不再依赖复杂的 GUI 工具，真正实现“所见即所得”的流量洞察。