TCPdump使用手册：从基础到进阶的实战指南

一、TCPdump概述：网络分析的瑞士军刀

TCPdump是一款基于命令行的网络抓包工具，通过捕获链路层、网络层、传输层的数据包，帮助开发者诊断网络问题、分析协议行为或监控异常流量。其核心优势在于轻量级、高灵活性和跨平台支持（Linux/Unix/macOS），尤其适合在生产环境中进行实时流量分析。

1.1 核心工作原理

TCPdump通过原始套接字（Raw Socket）直接读取网卡数据，绕过操作系统协议栈的封装，确保捕获的数据包未经修改。其工作流程分为三步：

1. 接口绑定：指定网卡（如eth0）或任意接口（any）。
2. 过滤规则：基于BPF（Berkeley Packet Filter）语法筛选目标流量。
3. 输出处理：将符合条件的数据包以十六进制或ASCII格式显示，或保存至文件。

1.2 典型应用场景

• 网络故障排查：定位丢包、延迟或连接中断问题。
• 协议分析：解析HTTP、DNS、TCP等协议的交互细节。
• 安全审计：检测异常流量（如端口扫描、DDoS攻击）。
• 性能优化：分析带宽占用、重传率等指标。

二、基础命令：快速上手抓包

2.1 基本语法结构

tcpdump [选项] [过滤表达式]

常用选项：
| 选项 | 说明 |
|———|———|
| -i <接口> | 指定网卡（如-i eth0），-i any监听所有接口 |
| -n | 禁用主机名解析，直接显示IP地址 |
| -nn | 禁用主机名和端口号解析（如80→http） |
| -v/-vv/-vvv | 增加输出详细度（协议字段、TTL等） |
| -c <数量> | 捕获指定数量的包后退出 |
| -w <文件> | 将原始数据包保存至文件（如-w capture.pcap） |
| -r <文件> | 从文件中读取并分析数据包 |

2.2 基础抓包示例

示例1：捕获所有经过eth0的流量

sudo tcpdump -i eth0

示例2：捕获10个HTTP请求包（不解析域名）

sudo tcpdump -nn -c 10 port 80

示例3：捕获源IP为192.168.1.100的ICMP包

sudo tcpdump -i any src host 192.168.1.100 and icmp

三、过滤规则：精准定位目标流量

3.1 基础过滤语法

TCPdump使用BPF语法构建过滤条件，支持协议、地址、端口、方向等组合。

3.1.1 协议过滤

tcpdump icmp       # 捕获ICMP包（Ping）
tcpdump arp        # 捕获ARP请求/响应
tcpdump udp        # 捕获UDP流量

3.1.2 地址与端口过滤

表达式	说明
src host <IP>	源IP匹配
dst host <IP>	目标IP匹配
host <IP>	源或目标IP匹配
port <端口>	指定端口（如port 22）
portrange <起始-结束>	端口范围（如portrange 8000-9000）

示例：捕获目标端口为443且源IP非内网的流量

sudo tcpdump -nn dst port 443 and not src net 192.168.0.0/16

3.1.3 方向与逻辑运算符

运算符	说明
and/&&	逻辑与
or/`		`	逻辑或
not/!	逻辑非
>/<	比较运算符（如len > 100）

示例：捕获TCP SYN包或DNS查询

sudo tcpdump 'tcp[tcpflags] & (tcp-syn) != 0 or port 53'

3.2 高级过滤技巧

3.2.1 按数据包长度过滤

tcpdump greater 1000   # 捕获长度>1000字节的包
tcpdump less 64        # 捕获长度<64字节的包（如Ping）

3.2.2 按TCP标志位过滤

标志位	表达式	说明
SYN	tcp[tcpflags] & (tcp-syn) != 0	连接建立
ACK	tcp[tcpflags] & (tcp-ack) != 0	确认包
RST	tcp[tcpflags] & (tcp-rst) != 0	连接重置

示例：捕获TCP三次握手过程

sudo tcpdump -nn 'tcp[tcpflags] & (tcp-syn|tcp-ack) == tcp-syn'

3.2.3 按内容过滤（需结合-A或-X）

# 捕获HTTP请求中包含"user"的包
sudo tcpdump -i eth0 -A -s 0 port 80 | grep "user"

四、高级功能：提升分析效率

4.1 数据包保存与回放

保存原始数据包：

sudo tcpdump -w capture.pcap -i eth0

回放数据包：

sudo tcpdump -r capture.pcap

结合Wireshark分析：

# 保存为pcap格式后，用Wireshark打开
sudo tcpdump -w capture.pcap -i eth0

4.2 统计模式：快速获取关键指标

# 统计TCP连接状态
sudo tcpdump -nn 'tcp[tcpflags] & (tcp-syn|tcp-fin|tcp-rst) != 0' \
| awk '{print $3}' | sort | uniq -c

4.3 跨主机抓包（远程捕获）

通过SSH在远程服务器上抓包并本地分析：

ssh user@remote-server "sudo tcpdump -w - -i eth0 'port 80'" > remote_capture.pcap

五、实战案例：解决真实网络问题

案例1：诊断DNS解析失败

问题描述：客户端无法解析域名example.com。
排查步骤：

1. 捕获DNS查询包：

   sudo tcpdump -i eth0 -nn port 53

2. 观察是否收到响应包，若无则检查防火墙规则。
3. 若收到响应但解析失败，检查响应包中的RCODE字段（如NXDOMAIN）。

案例2：定位TCP重传问题

问题描述：应用层报告连接超时。
排查步骤：

1. 捕获TCP流量并过滤重传包：

   sudo tcpdump -nn 'tcp[tcpflags] & (tcp-ack) != 0 and tcp[12:1] & 0x12 != 0'

2. 分析重传原因（如网络丢包、窗口大小不足）。

案例3：检测端口扫描攻击

问题描述：服务器日志显示异常连接。
排查步骤：

1. 捕获SYN包并统计源IP：

   sudo tcpdump -nn 'tcp[tcpflags] & (tcp-syn) != 0' | awk '{print $3}' | sort | uniq -c

2. 对高频源IP进行封禁。

六、注意事项与优化建议

1. 权限要求：TCPdump需要root权限（通过sudo运行）。
2. 性能影响：高流量环境下，使用-s 0（抓取完整包）可能丢包，建议限制抓包大小（如-s 96）。
3. 过滤规则优化：先通过粗粒度过滤（如port 80）缩小范围，再细化条件。
4. 时间戳：添加-tttt选项显示可读时间戳：

   sudo tcpdump -tttt -i eth0

5. 结合其他工具：与tshark、ngrep或tcpflow联动，实现更复杂的分析。

七、总结：TCPdump的核心价值

TCPdump凭借其灵活性、低开销和深度分析能力，成为网络工程师和开发者的必备工具。通过掌握基础命令、过滤规则和高级技巧，可以高效解决从简单连接问题到复杂安全攻击的各类场景。建议读者通过实际抓包练习（如捕获HTTP请求、分析TCP握手），逐步提升实战能力。