1、基礎講解

    在使用tcpdump之前，需要了解到兩條命令

    iwconfig:檢視所有無線網絡卡

    ifconfig：檢視所有網絡卡

可以看到，ifconfig得到的結果比iwconfig多一個,而且iwconfig側重得到無線資訊，而ifconfig側重展示介面資訊。

2、下載安裝tcpdump

sudo apt-get install tcpdump

3、基本語法

tcpdump有自己的語法規則，利用這個規則，我們可以很快掌握tcpdump的基本用法。在命令列下輸入

tcpdump -h

會出現諸如下面的資訊

tcpdump version 4.2.1
libpcap version 1.1.1
Usage: tcpdump [-aAbdDefhHIKlLnNOpqRStuUvxX] [ -B size ] [ -c count ]
        [ -C file_size ] [ -E algo:secret ] [ -F file ] [ -G seconds ]
        [ -i interface ] [ -M secret ]
        [ -r file ] [ -s snaplen ] [ -T type ] [ -w file ]
        [ -W filecount ] [ -y datalinktype ] [ -z command ]
        [ -Z user ] [ expression ]

由上面的資訊可以發現，tcpdump的語法可以分為基本選項和表達部分。

4、選項介紹
-A 以ASCII格式打印出所有分組，並將鏈路層的頭最小化。
-c 在收到指定的數量的分組後，tcpdump就會停止。
-C 在將一個原始分組寫入檔案之前，檢查檔案當前的大小是否超過了引數file_size 中指定的大小。如果超過了指定大小，則關閉當前檔案，然後在開啟一個新的檔案。引數 file_size 的單位是兆位元組（是1,000,000位元組，而不是1,048,576位元組）。
-d 將匹配資訊包的程式碼以人們能夠理解的彙編格式給出。
-dd 將匹配資訊包的程式碼以c語言程式段的格式給出。
-ddd 將匹配資訊包的程式碼以十進位制的形式給出。
-D 打印出系統中所有可以用tcpdump截包的網路介面。
-e 在輸出行打印出資料鏈路層的頭部資訊。
-E 用

[email protected] algo:secret解密那些以addr作為地址，並且包含了安全引數索引值spi的IPsec ESP分組。
-f 將外部的Internet地址以數字的形式打印出來。
-F 從指定的檔案中讀取表示式，忽略命令列中給出的表示式。
-i 指定監聽的網路介面。
-l 使標準輸出變為緩衝行形式，可以把資料匯出到檔案。
-L 列出網路介面的已知資料鏈路。
-m 從檔案module中匯入SMI MIB模組定義。該引數可以被使用多次，以匯入多個MIB模組。
-M 如果tcp報文中存在TCP-MD5選項，則需要用secret作為共享的驗證碼用於驗證TCP-MD5選選項摘要（詳情可參考RFC 2385）。
-b 在資料-鏈路層上選擇協議，包括ip、arp、rarp、ipx都是這一層的。
-n 不把網路地址轉換成名字。
-nn 不進行埠名稱的轉換。
-N 不輸出主機名中的域名部分。例如，‘nic.ddn.mil‘只輸出’nic‘。
-t 在輸出的每一行不列印時間戳。
-O 不執行分組分組匹配（packet-matching）程式碼優化程式。
-P 不將網路介面設定成混雜模式。
-q 快速輸出。只輸出較少的協議資訊。
-r 從指定的檔案中讀取包(這些包一般通過-w選項產生)。
-S 將tcp的序列號以絕對值形式輸出，而不是相對值。
-s 從每個分組中讀取最開始的snaplen個位元組，而不是預設的68個位元組。
-T 將監聽到的包直接解釋為指定的型別的報文，常見的型別有rpc遠端過程呼叫）和snmp（簡單網路管理協議；）。
-t 不在每一行中輸出時間戳。
-tt 在每一行中輸出非格式化的時間戳。
-ttt 輸出本行和前面一行之間的時間差。
-tttt 在每一行中輸出由date處理的預設格式的時間戳。
-u 輸出未解碼的NFS控制代碼。
-v 輸出一個稍微詳細的資訊，例如在ip包中可以包括ttl和服務型別的資訊。
-vv 輸出詳細的報文資訊。
-w 直接將分組寫入檔案中，而不是不分析並打印出來。

-X 輸出資料包資訊

常用選項舉例

監聽指定wlan0介面資訊

tcpdump -i wlan0 

監聽3個包後停止

tcpdump -i  wlan0 -c 3

不進行網路地址轉換

tcpdump -i wlan0 -c 3 -n

不進行埠號轉換

tcpdump -i wlan0 -c 3 -n -nn

輸出詳細報文資訊

tcpdump -i wlan0 -c 3 -n -nn -vv

將資料包資訊也輸出

tcpdump -i wlan0 -c 3 -n -nn -vv -X

需要輸出全部的報文資訊而不是擷取的預設68位元組

tcpdump -i wlan0 -c 3 -n -nn -vv -X -s0

當然，可以簡單的這麼寫tcpdump -i wlan0 -c 3 -nnnvvXs0

5、表示式

tcpdump支援正則表示式過濾。

 第一種是關於型別的關鍵字，主要包括host，net，port, 例如 host 210.27.48.2，指明 210.27.48.2是一臺主機，net 202.0.0.0 指明 202.0.0.0是一個網路地址，net可以表示一個子網，比如 net 192.168.1，port 23 指明埠號是23。如果沒有指定型別，預設的型別host.

第二種是確定傳輸方向的關鍵字，主要包括src , dst ,dst or src, dst and src ,這些關鍵字指明瞭傳輸的方向。舉例說明，src 210.27.48.2 ,指明ip包中源地址是210.27.48.2 , dst net 202.0.0.0 指明目的網路地址是202.0.0.0 。如果沒有指明方向關鍵字，則預設是src or dst關鍵字。

第三種是協議的關鍵字，主要包括fddi,ip,arp,rarp,tcp,udp等型別。Fddi指明是在FDDI(分散式光纖資料介面網路)上的特定 的網路協議，實際上它是"ether"的別名，fddi和ether具有類似的源地址和目的地址，所以可以將fddi協議包當作ether的包進行處理和 分析。其他的幾個關鍵字就是指明瞭監聽的包的協議內容。如果沒有指定任何協議，則tcpdump將會監聽所有協議的資訊包。

  除了這三種類型的關鍵字之外，其他重要的關鍵字如下：gateway, broadcast,less,greater,還有三種邏輯運算，取非運算是 'not ' '! ', 與運算是'and','&&;或運算 是'or' ,'||'；這些關鍵字可以組合起來構成強大的組合條件來滿足人們的需要。

舉例來說，想要監聽目標主機為192.168.1.1ip的udp協議或者埠號為80的資訊頭

tcpdump -i wlan0 -nn -vv dst 192.168.1.1 and \( udp or port 80 \)

在需要使用括號的地方，需要加反斜槓轉義。