TCPDUMP是一款知名的linux抓包工具。Linux作為網(wǎng)絡(luò)服務(wù)器，特別是作為路由器和網(wǎng)關(guān)時(shí)，數(shù)據(jù)的采集和分析是不可少的。TcpDump是Linux中強(qiáng)大的網(wǎng)絡(luò)數(shù)據(jù)采集分析工具之一，一言概之，dump the traffic on a network，是一款根據(jù)使用者的定義對(duì)網(wǎng)絡(luò)上的數(shù)據(jù)包進(jìn)行截獲的包分析工具。作為互聯(lián)網(wǎng)上經(jīng)典的的系統(tǒng)管理員必備工具，tcpdump以其強(qiáng)大的功能，靈活的截取策略，成為每個(gè)高級(jí)的系統(tǒng)管理員分析網(wǎng)絡(luò)，排查問(wèn)題等所必備的工具之一。

 有的朋友可能不太理解，其實(shí)說(shuō)白了，tcpdump就類(lèi)似我們經(jīng)常在window客戶端使用wireshark，區(qū)別就是一個(gè)是圖形界面，一個(gè)是命令形式。小編這里為大家提供的TCPDUMP抓包工具，可支持Linux和Unix系統(tǒng)，后問(wèn)附有詳細(xì)的介紹，有需求的用戶還請(qǐng)下載支持。

安裝tcpdump

如果你的系統(tǒng)默認(rèn)沒(méi)有安裝tcpdump，那么你可以使用如下命令，進(jìn)行安裝：

yum install tcpdump -y

tcpdump參數(shù)解析

為了方便大家直觀理解，小編在網(wǎng)上截取了一段參數(shù)圖，如下，可以幫助我們更好的理解tcpdump語(yǔ)句的含義。

option：可選參數(shù)，可以指定相關(guān)參數(shù)，輸出特定信息。

proto：類(lèi)過(guò)濾器，指定某種協(xié)議的數(shù)據(jù)包。如tcp。

在開(kāi)始玩tcpdump時(shí)，讀者應(yīng)該有所了解報(bào)文結(jié)構(gòu)，這樣才能更好讀懂tcpdump輸出的信息。

tcpdump命令實(shí)例

一、抓取特定網(wǎng)卡 80端口的鏈接情況：

1、我們先用ifconfig查看網(wǎng)卡名稱(chēng)：

2、輸入下來(lái)命令后，打開(kāi)百度網(wǎng)頁(yè)：

可以捕獲到如下信息，截取一部分：

關(guān)于上面輸出的內(nèi)容，格式注釋如下：

第二列：網(wǎng)絡(luò)協(xié)議 IP

第三列：發(fā)送方的ip地址+端口號(hào)，其中 221.5.75.35是 ip，而 http是端口號(hào)，即80

第四列：箭頭 >， 表示數(shù)據(jù)流向

第五列：接收方的ip地址+端口號(hào)，其中 localhost.localdomain.是 ip，本機(jī)，而 42884是端口號(hào)。

第六列：冒號(hào)

第七列：數(shù)據(jù)包內(nèi)容，包括Flags 標(biāo)識(shí)符，seq 號(hào)，ack 號(hào)，win 窗口，數(shù)據(jù)長(zhǎng)度 length，其中 [P.] 表示 PUSH 標(biāo)志位為 1。

其中Flags 標(biāo)識(shí)符有以下幾種：

[S] : SYN（開(kāi)始連接）

[P] : PSH（推送數(shù)據(jù)）

[F] : FIN （結(jié)束連接）

[R] : RST（重置連接）

[.] : 沒(méi)有 Flag，由于除了 SYN 包外所有的數(shù)據(jù)包都有ACK，所以一般這個(gè)標(biāo)志也可表示 ACK

二、如果你覺(jué)得命令行不習(xí)慣，還是喜歡用wireshark來(lái)查看數(shù)據(jù)包，那么你還可以使用tcpdump來(lái)保存.cap文件，然后導(dǎo)出cap文件，就可以用wireshark軟件來(lái)打開(kāi)查看了。

tcpdump-i ens33 port80-w ./20210616.cap（左右滑動(dòng)一下）

注釋?zhuān)?

-w：參數(shù)指定將監(jiān)聽(tīng)到的數(shù)據(jù)包寫(xiě)入文件中保存，file.cap就是該文件。

./：保存的路徑。

通過(guò)ls，可以看到該文件已生成：

輸入linux服務(wù)器ip地址（即我虛擬機(jī)的ip地址）、賬號(hào)、密碼

下載cap文件：

下載到window物理機(jī)上：

雙擊，我們就可以使用wireshark來(lái)查看數(shù)據(jù)包了

三、基于協(xié)議進(jìn)行過(guò)濾，比如就只抓起icmp報(bào)文。

tcpdump icmp

輸完上述命令后，我打開(kāi)網(wǎng)頁(yè)，又進(jìn)行了ping測(cè)試，先ping8.8.8.8，然后中止了，再ping 114.114.114.114.

來(lái)看看，命令輸出的結(jié)果：

23:05:28.009283 IP http://public1.114dns.com > localhost.localdomain: ICMP echo reply, id 24125, seq 3, length 64

四、-n參數(shù)

上面我們看到了，ping 114.114.114.114，tcpdump輸出顯示是域名形式，如果我們希望顯示ip地址，可以加一個(gè)參數(shù)：-n （即不把ip轉(zhuǎn)化成域名，直接顯示 ip，避免執(zhí)行 DNS lookups 的過(guò)程，速度會(huì)快很多）

tcpdump icmp -n

五、捕獲特定的目的IP地址的數(shù)據(jù)包。

我在linux服務(wù)器上進(jìn)行ping多個(gè)地址（114.114.114.114、223.5.5.5、223.6.6.6），然后我tcpdump只需114.114.114.114的。

tcpdumpicmp-nanddsthost114.114.114.114（左右滑動(dòng)一下）

and：后面就是加了限制條件，只捕獲指定的目的ip地址為114.114.114.114的報(bào)文。

總結(jié)

我們都知道，想學(xué)會(huì)網(wǎng)絡(luò)技術(shù)，人人都繞不開(kāi)“抓包”這項(xiàng)技能。只有把設(shè)備之間交互的信息讀透了，搞懂它，那么，你在網(wǎng)絡(luò)世界里，就能游刃有余，如魚(yú)得水。

Tcpdump是著名的sniffer，是一個(gè)被很多UNIX高手認(rèn)為是一個(gè)專(zhuān)業(yè)的網(wǎng)絡(luò)管理工具，記得以前TsutomuShimomura，就是使用他自己修改過(guò)的TCPDUMP版本來(lái)記錄了KEVINMITNICK攻擊他系統(tǒng)的記錄，后來(lái)就配合FBI抓住了KEVINMITNICK。你能夠利用這個(gè)工具檢查訪問(wèn)你服務(wù)器中的文件包信息，監(jiān)測(cè)你網(wǎng)絡(luò)中的問(wèn)題所在。