tcpdump 使用手册

引言

在网络调试与安全分析领域，tcpdump 是一款不可替代的经典工具。它允许用户实时捕获和分析网络数据包，帮助开发者快速定位网络问题、排查安全漏洞或监控流量模式。本文将从基础到进阶，系统讲解 tcpdump 的使用方法，结合实际案例，帮助读者掌握这一工具的核心功能。

一、tcpdump 基础

1.1 安装与启动

tcpdump 通常预装在 Linux/Unix 系统中，若未安装，可通过包管理器安装：

# Ubuntu/Debian
sudo apt-get install tcpdump
# CentOS/RHEL
sudo yum install tcpdump

启动 tcpdump 最简单的方式是直接运行命令，默认捕获第一个非本地接口的流量：

sudo tcpdump

需使用 sudo 是因为捕获原始数据包需要管理员权限。

1.2 基本语法

tcpdump 的核心语法为：

tcpdump [选项] [过滤表达式]

• 选项：控制捕获行为（如接口、文件输出等）。
• 过滤表达式：定义捕获哪些数据包（如协议、端口、IP 等）。

1.3 常用选项

选项	说明
-i <接口>	指定捕获接口（如 eth0、any）。
-n	禁用主机名解析，直接显示 IP。
-nn	禁用主机名和端口名解析（如显示 80 而非 http）。
-v/-vv/-vvv	增加输出详细度。
-c <数量>	捕获指定数量的数据包后退出。
-w <文件>	将捕获的数据包保存到文件（如 -w capture.pcap）。
-r <文件>	从文件中读取数据包（如 -r capture.pcap）。
-s <长度>	设置捕获的数据包长度（默认 262144 字节）。

1.4 基础示例

# 捕获 eth0 接口的 10 个数据包，不解析主机名和端口
sudo tcpdump -i eth0 -nn -c 10
# 捕获所有 HTTP 流量并保存到文件
sudo tcpdump -i any -nn port 80 -w http_traffic.pcap

二、过滤表达式详解

过滤表达式是 tcpdump 的核心功能，通过逻辑组合（与、或、非）精准捕获目标数据包。

2.1 主机过滤

• 捕获特定主机的流量：

  tcpdump host 192.168.1.1

• 捕获与两台主机相关的流量：

  tcpdump host 192.168.1.1 or host 192.168.1.2

• 排除特定主机：

  tcpdump not host 192.168.1.3

2.2 网络与端口过滤

• 捕获特定网络的流量：

  tcpdump net 192.168.1.0/24

• 捕获特定端口的流量：

  tcpdump port 22  # SSH
  tcpdump port 80 or port 443  # HTTP/HTTPS

• 捕获端口范围：

  tcpdump portrange 8000-9000

2.3 协议过滤

• 捕获特定协议：

  tcpdump icmp  # ICMP（ping）
  tcpdump arp   # ARP 请求
  tcpdump udp   # UDP 流量

2.4 方向过滤

• 捕获发送或接收的数据包：

  tcpdump src 192.168.1.1      # 源 IP
  tcpdump dst 192.168.1.2      # 目标 IP
  tcpdump src port 80          # 源端口 80
  tcpdump dst port 443         # 目标端口 443

2.5 组合过滤

通过逻辑运算符（and、or、not）组合多个条件：

# 捕获来自 192.168.1.1 的 HTTP 请求
tcpdump src 192.168.1.1 and port 80
# 捕获非本地网络的 DNS 查询
tcpdump not net 127.0.0.0/8 and port 53

三、高级技巧

3.1 捕获特定长度的数据包

tcpdump greater 1000      # 捕获长度 >1000 字节的数据包
tcpdump less 100         # 捕获长度 <100 字节的数据包

3.2 捕获 TCP 标志位

• SYN 请求：

  tcpdump 'tcp[tcpflags] & (tcp-syn) != 0'

• ACK 响应：

  tcpdump 'tcp[tcpflags] & (tcp-ack) != 0'

• RST 连接重置：

  tcpdump 'tcp[tcpflags] & (tcp-rst) != 0'

3.3 捕获 HTTP 请求

通过过滤 GET/POST 请求的明文内容：

tcpdump -nn -A -s0 port 80 | grep "GET \| HTTP/"

• -A：以 ASCII 格式显示数据包内容。
• -s0：捕获完整数据包（避免截断）。

3.4 捕获 DNS 查询

tcpdump -i any -nn port 53

3.5 性能优化

• 限制捕获大小：

  tcpdump -s 100  # 仅捕获前 100 字节

• 使用 any 接口（避免遍历所有接口）：

  tcpdump -i any

四、实际案例

案例 1：排查 SSH 连接失败

# 捕获 SSH 流量并显示详细信息
sudo tcpdump -nn -v port 22

通过观察 SYN/ACK 交互，判断是客户端未收到响应还是服务端拒绝连接。

案例 2：监控异常外连

# 捕获非本地网络的出站流量
sudo tcpdump -nn not net 127.0.0.0/8 and not net 192.168.1.0/24

发现可疑 IP 后，进一步过滤：

sudo tcpdump host 10.0.0.5

案例 3：分析 DDoS 攻击

# 捕获大量短连接的源 IP
sudo tcpdump -nn -c 1000 'tcp[tcpflags] & (tcp-syn) != 0' | awk '{print $3}' | sort | uniq -c | sort -nr

统计高频 SYN 请求的源 IP，定位攻击源。

五、常见问题

5.1 权限不足

错误提示：tcpdump: you don't have permission to capture on that device
解决方案：使用 sudo 或将用户加入 pcap 组：

sudo usermod -aG pcap $USER

5.2 接口未找到

错误提示：tcpdump: eth0: No such device exists
解决方案：通过 ip a 或 ifconfig 确认接口名称，或使用 any 捕获所有接口。

5.3 数据包截断

现象：输出显示 [truncated]
解决方案：增加捕获长度：

tcpdump -s 0  # 捕获完整数据包

六、总结

tcpdump 是一款功能强大但需要深入学习的工具。通过掌握过滤表达式、组合条件及高级技巧，开发者可以高效完成网络调试、安全分析和流量监控任务。建议结合 Wireshark 等图形化工具分析捕获的 .pcap 文件，进一步提升效率。

实践建议：

1. 从简单命令开始，逐步增加过滤条件。
2. 遇到复杂问题时，先捕获原始数据包，再离线分析。
3. 定期复习 TCP/IP 协议基础，理解数据包字段含义。

通过持续练习，tcpdump 将成为您网络故障排查的得力助手。