簡介

用簡單的話來定義tcpdump，就是：dump the traffic on a network，根據使用者的定義對網路上的資料包進行截獲的包分析工具。 tcpdump可以將網路中傳送的資料包的“頭”完全截獲下來提供分析。它支援針對網路層、協議、主機、網路或埠的過濾，並提供and、or、not等邏輯語句來幫助你去掉無用的資訊。

實用命令例項

預設啟動

tcpdump

普通情況下，直接啟動tcpdump將監視第一個網路介面上所有流過的資料包。

監視指定網路介面的資料包

tcpdump -i eth1

如果不指定網絡卡，預設tcpdump只會監視第一個網路介面，一般是eth0，下面的例子都沒有指定網路介面。　

監視指定主機的資料包

列印所有進入或離開sundown的資料包.

tcpdump host sundown

也可以指定ip,例如截獲所有210.27.48.1 的主機收到的和發出的所有的資料包

tcpdump host 210.27.48.1 

列印helios 與 hot 或者與 ace 之間通訊的資料包

tcpdump host helios and \( hot or ace \)

截獲主機210.27.48.1 和主機210.27.48.2 或210.27.48.3的通訊

tcpdump host 210.27.48.1 and \ (210.27.48.2 or 210.27.48.3 \) 

列印ace與任何其他主機之間通訊的IP 資料包, 但不包括與helios之間的資料包.

tcpdump ip host ace and not helios

如果想要獲取主機210.27.48.1除了和主機210.27.48.2之外所有主機通訊的ip包，使用命令：

tcpdump ip host 210.27.48.1 and ! 210.27.48.2

截獲主機hostname傳送的所有資料

tcpdump -i eth0 src host hostname

監視所有送到主機hostname的資料包

tcpdump -i eth0 dst host hostname

監視指定主機和埠的資料包

如果想要獲取主機210.27.48.1接收或發出的telnet包，使用如下命令

tcpdump tcp port 23 host 210.27.48.1

對本機的udp 123 埠進行監視 123 為ntp的服務埠

tcpdump udp port 123 

監視指定網路的資料包

列印本地主機與Berkeley網路上的主機之間的所有通訊資料包(nt: ucb-ether, 此處可理解為'Berkeley網路'的網路地址,此表示式最原始的含義可表達為: 列印網路地址為ucb-ether的所有資料包)

tcpdump net ucb-ether

列印所有通過閘道器snup的ftp資料包(注意, 表示式被單引號括起來了, 這可以防止shell對其中的括號進行錯誤解析)

tcpdump 'gateway snup and (port ftp or ftp-data)'

列印所有源地址或目標地址是本地主機的IP資料包

(如果本地網路通過閘道器連到了另一網路, 則另一網路並不能算作本地網路.(nt: 此句翻譯曲折,需補充).localnet 實際使用時要真正替換成本地網路的名字)

tcpdump ip and not net localnet

監視指定協議的資料包

列印TCP會話中的的開始和結束資料包, 並且資料包的源或目的不是本地網路上的主機.(nt: localnet, 實際使用時要真正替換成本地網路的名字))

tcpdump 'tcp[tcpflags] & (tcp-syn|tcp-fin) != 0 and not src and dst net localnet'

列印所有源或目的埠是80, 網路層協議為IPv4, 並且含有資料,而不是SYN,FIN以及ACK-only等不含資料的資料包.(ipv6的版本的表示式可做練習)

tcpdump 'tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)'

(nt: 可理解為, ip[2:2]表示整個ip資料包的長度, (ip[0]&0xf)<<2)表示ip資料包包頭的長度(ip[0]&0xf代表包中的IHL域, 而此域的單位為32bit, 要換算

成位元組數需要乘以4,　即左移2.　(tcp[12]&0xf0)>>4 表示tcp頭的長度, 此域的單位也是32bit,　換算成位元數為 ((tcp[12]&0xf0) >> 4)　<<　２,　
即 ((tcp[12]&0xf0)>>2).　((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0　表示: 整個ip資料包的長度減去ip頭的長度,再減去
tcp頭的長度不為0, 這就意味著, ip資料包中確實是有資料.對於ipv6版本只需考慮ipv6頭中的'Payload Length' 與 'tcp頭的長度'的差值, 並且其中表達方式'ip[]'需換成'ip6[]'.)

列印長度超過576位元組, 並且閘道器地址是snup的IP資料包

tcpdump 'gateway snup and ip[2:2] > 576'

列印所有IP層廣播或多播的資料包， 但不是物理乙太網層的廣播或多播資料報

tcpdump 'ether[0] & 1 = 0 and ip[16] >= 224'

列印除'echo request'或者'echo reply'型別以外的ICMP資料包( 比如,需要列印所有非ping 程式產生的資料包時可用到此表示式 .
(nt: 'echo reuqest' 與 'echo reply' 這兩種型別的ICMP資料包通常由ping程式產生))

tcpdump 'icmp[icmptype] != icmp-echo and icmp[icmptype] != icmp-echoreply'

tcpdump 與wireshark

Wireshark(以前是ethereal)是Windows下非常簡單易用的抓包工具。但在Linux下很難找到一個好用的圖形化抓包工具。
還好有Tcpdump。我們可以用Tcpdump + Wireshark 的完美組合實現：在 Linux 裡抓包，然後在Windows 裡分析包。

tcpdump tcp -i eth1 -t -s 0 -c 100 and dst port ! 22 and src net 192.168.1.0/24 -w ./target.cap

(1)tcp: ip icmp arp rarp 和 tcp、udp、icmp這些選項等都要放到第一個引數的位置，用來過濾資料報的型別
(2)-i eth1 : 只抓經過介面eth1的包
(3)-t : 不顯示時間戳
(4)-s 0 : 抓取資料包時預設抓取長度為68位元組。加上-S 0 後可以抓到完整的資料包
(5)-c 100 : 只抓取100個數據包
(6)dst port ! 22 : 不抓取目標埠是22的資料包
(7)src net 192.168.1.0/24 : 資料包的源網路地址為192.168.1.0/24
(8)-w ./target.cap : 儲存成cap檔案，方便用ethereal(即wireshark)分析