tcpdump 基本用法

tcpdump 是一个linux下的抓包工具，基于libpcap。基础的命令如下：

tcpdump -i interface proto-dir-type-filterExpr -w savefile

其中 -i 后面的参数是网络接口，-w 后面是要保存的文件名。
整个抓包命令的关键，就是写一个过滤表达式，拿到你需要的包。
tcpdump 还有很多其他命令，但我基本不用所以本文不介绍。

基于场景的过滤表达式

过滤表达式的一般规则：

• 包括：协议、方向、类型三个元素
• 协议：tcp、udp、arp、ip 等
• 方向：src、dst、src and dst、src or dst 等
• 类型：地址、端口等

基于协议过滤

• 抓 tcp/udp/arp/ip 包

tcpdump -i eth0 tcp/udp/arp/ip -w savefile

基于 IP 地址过滤

• 抓本机和主机 A 之间的包

tcpdump -i eth0 host A -w savefile

• 抓源地址是主机 A 的包

tcpdump -i eth0 src host A -w savefile

• 抓目的地址是主机 A 的包

tcpdump -i eth0 dst host A -w savefile

• 抓某一个子网络的包

tcpdump -i eth0 net A -w savefile

基于端口过滤

• 抓源端口是 80 的包

tcpdump -i eth0 src port 80 -w savefile

• 抓目的端口是 80 的包

tcpdump -i eth0 dst port 80 -w savefile

• 抓端口 sport 和 dport 之间的包

tcpdump -i eth0 src port sport and dst port dport -w savefile

• 抓端口范围 6000 - 8000 的包

tcpdump -i eth0 portrange 6000-8000 -w savefile

其他

• 查看过滤表达式帮助文档

man pcap-filter

• 找出抓包的interface， 比如：本机的回环 lo 或者其他

tcpdump -D

• 限制抓包数量，比如：抓100个包就停止

tcpdump -c 100

• 限制从一个包中截取的字节数

# 针对每一个包，截取开头多少个字节
# 目的是：限制抓包大小，提高后续分析效率；
# 分析网络问题，很多时候只要一个包头就够了，内容是不需要的
tcpdump -s 80

• 查看丢包数量

# tcpdump 抓包结束后，会显示有多少收到的包被 drop，往往是因为 tcpdump buffer 不够
# 解决方案：增加过滤条件，或者限制每个包的大小
XXX packets dropped by kernel

• 把大包分割成多个小包

# 包太大以后，有时用wireshark都不能打开，这时就要把包分割成多个小包
tcpdump -r zhuabao.pcap -w newfile -C packetSize