簡介

用簡單的話來定義tcpdump，就是：dump the traffic on a network，根據使用者的定義對網絡上的數據包進行截獲的包分析工具。 tcpdump可以將網絡中傳送的數據包的“頭”完全截獲下來提供分析。它支持針對網絡層、協議、主機、網絡或端口的過濾，並提供and、or、not等邏輯語句來幫助你去掉無用的信息。

-a：嘗試將網絡和廣播地址轉換成名稱； 
-c<數據包數目>：收到指定的數據包數目後，就停止進行傾倒操作； 
-d：把編譯過的數據包編碼轉換成可閱讀的格式，並傾倒到標準輸出； 
-dd：把編譯過的數據包編碼轉換成C語言的格式，並傾倒到標準輸出； 
 
-ddd：把編譯過的數據包編碼轉換成十進制數字的格式，並傾倒到標準輸出； 
-e：在每列傾倒資料上顯示連接層級的文件頭； 
-f：用數字顯示網際網絡地址； 
-F<表達文件>：指定內含表達方式的文件； 
-i<網絡界面>：使用指定的網絡截面送出數據包； 
-l：使用標準輸出列的緩沖區； 
-n：不把主機的網絡地址轉換成名字； 
-N：不列出域名； 
-O：不將數據包編碼最佳化； 
-p：不讓網絡界面進入混雜模式； 
-q ：快速輸出，僅列出少數的傳輸協議信息； 
-r<數據包文件>：從指定的文件讀取數據包數據； 
-s<數據包大小>：設置每個數據包的大小； 
 
-S：用絕對而非相對數值列出TCP關聯數； 
-t：在每列傾倒資料上不顯示時間戳記； 
-tt： 在每列傾倒資料上顯示未經格式化的時間戳記； 
-T<數據包類型>：強制將表達方式所指定的數據包轉譯成設置的數據包類型； 
-v：詳細顯示指令執行過程； 
-vv：更詳細顯示指令執行過程； 
-x：用十六進制字碼列出數據包資料； 
-w<數據包文件>：把數據包數據寫入指定的文件。

實用命令實例

默認啟動

tcpdump

普通情況下，直接啟動tcpdump將監視第一個網絡接口上所有流過的數據包。

監視指定網絡接口的數據包

tcpdump -i eth1

如果不指定網卡，默認tcpdump只會監視第一個網絡接口，一般是eth0，下面的例子都沒有指定網絡接口。　

監視指定主機的數據包

打印所有進入或離開sundown的數據包.

tcpdump host sundown

也可以指定ip,例如截獲所有210.27.48.1 的主機收到的和發出的所有的數據包

tcpdump host 210.27.48.1 

打印helios 與 hot 或者與 ace 之間通信的數據包

tcpdump host helios and \( hot or ace \)

截獲主機210.27.48.1 和主機210.27.48.2 或210.27.48.3的通信

tcpdump host 210.27.48.1 and \ (210.27.48.2 or 210.27.48.3 \) 

打印ace與任何其他主機之間通信的IP 數據包, 但不包括與helios之間的數據包.

tcpdump ip host ace and not helios

如果想要獲取主機210.27.48.1除了和主機210.27.48.2之外所有主機通信的ip包，使用命令：

tcpdump ip host 210.27.48.1 and ! 210.27.48.2

截獲主機hostname發送的所有數據

tcpdump -i eth0 src host hostname

監視所有送到主機hostname的數據包

tcpdump -i eth0 dst host hostname

監視指定主機和端口的數據包

如果想要獲取主機210.27.48.1接收或發出的telnet包，使用如下命令

tcpdump tcp port 23 and host 210.27.48.1

對本機的udp 123 端口進行監視 123 為ntp的服務端口

tcpdump udp port 123 

監視指定網絡的數據包

打印本地主機與Berkeley網絡上的主機之間的所有通信數據包(nt: ucb-ether, 此處可理解為‘Berkeley網絡‘的網絡地址,此表達式最原始的含義可表達為: 打印網絡地址為ucb-ether的所有數據包)

tcpdump net ucb-ether

打印所有通過網關snup的ftp數據包(註意, 表達式被單引號括起來了, 這可以防止shell對其中的括號進行錯誤解析)

tcpdump ‘gateway snup and (port ftp or ftp-data)‘

打印所有源地址或目標地址是本地主機的IP數據包

(如果本地網絡通過網關連到了另一網絡, 則另一網絡並不能算作本地網絡.(nt: 此句翻譯曲折,需補充).localnet 實際使用時要真正替換成本地網絡的名字)

tcpdump ip and not net localnet

監視指定協議的數據包

打印TCP會話中的的開始和結束數據包, 並且數據包的源或目的不是本地網絡上的主機.(nt: localnet, 實際使用時要真正替換成本地網絡的名字))

打印所有源或目的端口是80, 網絡層協議為IPv4, 並且含有數據,而不是SYN,FIN以及ACK-only等不含數據的數據包.(ipv6的版本的表達式可做練習)

tcpdump ‘tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)‘

(nt: 可理解為, ip[2:2]表示整個ip數據包的長度, (ip[0]&0xf)<<2)表示ip數據包包頭的長度(ip[0]&0xf代表包中的IHL域, 而此域的單位為32bit, 要換算

成字節數需要乘以4,　即左移2.　(tcp[12]&0xf0)>>4 表示tcp頭的長度, 此域的單位也是32bit,　換算成比特數為 ((tcp[12]&0xf0) >> 4)　<<　２,　
即 ((tcp[12]&0xf0)>>2).　((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0　表示: 整個ip數據包的長度減去ip頭的長度,再減去
tcp頭的長度不為0, 這就意味著, ip數據包中確實是有數據.對於ipv6版本只需考慮ipv6頭中的‘Payload Length‘ 與 ‘tcp頭的長度‘的差值, 並且其中表達方式‘ip[]‘需換成‘ip6[]‘.)

打印長度超過576字節, 並且網關地址是snup的IP數據包

tcpdump ‘gateway snup and ip[2:2] > 576‘

打印所有IP層廣播或多播的數據包， 但不是物理以太網層的廣播或多播數據報

tcpdump ‘ether[0] & 1 = 0 and ip[16] >= 224‘

打印除‘echo request‘或者‘echo reply‘類型以外的ICMP數據包( 比如,需要打印所有非ping 程序產生的數據包時可用到此表達式 .
(nt: ‘echo reuqest‘ 與 ‘echo reply‘ 這兩種類型的ICMP數據包通常由ping程序產生))

tcpdump ‘icmp[icmptype] != icmp-echo and icmp[icmptype] != icmp-echoreply‘

使用tcpdump抓取HTTP包

tcpdump  -XvvenSs 0 -i eth0 tcp[20:2]=0x4745 or tcp[20:2]=0x4854

0x4745 為"GET"前兩個字母"GE",0x4854 為"HTTP"前兩個字母"HT"。

tcpdump 對截獲的數據並沒有進行徹底解碼，數據包內的大部分內容是使用十六進制的形式直接打印輸出的。顯然這不利於分析網絡故障，通常的解決辦法是先使用帶-w參數的tcpdump 截獲數據並保存到文件中，然後再使用其他程序(如Wireshark)進行解碼分析。當然也應該定義過濾規則，以避免捕獲的數據包填滿整個硬盤。

解決丟包問題

2706 packets dropped by kernel

丟包原因：

經過google以及分析，造成這種丟包的原因是由於libcap抓到包後，tcpdump上層沒有及時的取出，導致libcap緩沖區溢出，從而覆蓋了未處理包，此處即顯示為dropped by kernel，註意，這裏的kernel並不是說是被linux內核拋棄的，而是被tcpdump的內核，即libcap拋棄掉的，上層監聽到1234端口的server可以正常的獲取數據。

解決方法：

根據以上分析，可以通過改善tcpdump上層的處理效率來減少丟包率，下面的幾步根據需要選用，每一步都能減少一定的丟包率

1.最小化抓取過濾範圍，即通過指定網卡，端口，包流向，包大小減少包數量

2. 添加-n參數，禁止反向域名解析

tcpdump -i eth0 dst port 1234 and udp -s 2048 -n -X -tt >a.pack

大多數情況這樣就可以解決了，可以通過改善tcpdump上層的處理效率來減少丟包率。

3. 將數據包輸出到cap文件

tcpdump -i eth0 dst port 1234 and udp -s 2048 -n -X -tt -w a.cap

用了這一步，基本上所有的網絡server都可以搞定了 。

4. 用sysctl修改SO_REVBUF參數，增加libcap緩沖區長度

這一步是絕招了，由於設計內核參數修改，盡量不要使用，要用了不行，那就沒辦法了。

tcpdump 與wireshark

Wireshark(以前是ethereal)是Windows下非常簡單易用的抓包工具。但在Linux下很難找到一個好用的圖形化抓包工具。
還好有Tcpdump。我們可以用Tcpdump + Wireshark 的完美組合實現：在 Linux 裏抓包，然後在Windows 裏分析包。

tcpdump tcp -i eth1 -t -s 0 -c 100 and dst port ! 22 and src net 192.168.1.0/24 -w ./target.cap

(1)tcp: ip icmp arp rarp 和 tcp、udp、icmp這些選項等都要放到第一個參數的位置，用來過濾數據報的類型
(2)-i eth1 : 只抓經過接口eth1的包
(3)-t : 不顯示時間戳
(4)-s 0 : 抓取數據包時默認抓取長度為68字節。加上-S 0 後可以抓到完整的數據包
(5)-c 100 : 只抓取100個數據包
(6)dst port ! 22 : 不抓取目標端口是22的數據包
(7)src net 192.168.1.0/24 : 數據包的源網絡地址為192.168.1.0/24
(8)-w ./target.cap : 保存成cap文件，方便用ethereal(即wireshark)分析

http://blog.csdn.net/earbao/article/details/50537530 Wireshark過濾規則

參考資料

https://www.cnblogs.com/ggjucheng/archive/2012/01/14/2322659.html

http://man.linuxde.net/tcpdum

tcpdump抓包和Wireshark解包