tcpdump命令详解

概述

维护云平台的过程中，网络问题是至关重要的，所以网络分析命令就要求熟练使用。下面我就介绍下tcpdump

详解

1.首先我们看看usage

tcpdump -h

tcpdump [ -adeflnNOpqStvx ] [ -c 数量 ] [ -F 文件名 ]
　　　　　　　　　　[ -i 网络接口 ] [ -r 文件名] [ -s snaplen ]
　　　　　　　　　　[ -T 类型 ] [ -w 文件名 ] [表达式 ]

2.选项介绍
-a　　将网络地址和广播地址转变成名字；
-d　　将匹配信息包的代码以人们能够理解的汇编格式给出；
-dd　　将匹配信息包的代码以C语言程序段的格式给出；
-ddd　　将匹配信息包的代码以十进制的形式给出；
-e　　在输出行打印出数据链路层的头部信息；显示MAC地址
-f 　　将外部的Internet地址以数字的形式打印出来；
-l　　使标准输出变为缓冲行形式；
-n　　不把网络地址转换成名字；
-t　　在输出的每一行不打印时间戳；
-s　　抓报长度，一般设置为0，即65535字节
-v 　　输出一个稍微详细的信息，例如在ip包中可以包括ttl和服务类型的信息；
-vv　　输出详细的报文信息；
-c　　在收到指定的包的数目后，tcpdump就会停止；
-F　　从指定的文件中读取表达式,忽略其它的表达式；
-i　　指定监听的网络接口；
-r　　从指定的文件中读取包(这些包一般通过-w选项产生)；
-w 　　直接将包写入文件中，并不分析和打印出来；
-T　　将监听到的包直接解释为指定的类型的报文，常见的类型有rpc （远程过程调用）和snmp（简单网络管理协议；）

3.表达式介绍

3.1类型关键字
host 192.168.1.10指明的是一台主机
net 192.168.1.0 指明的是网络地址
port 22指明的是端口

3.2传输方向关键字
src 192.168.1.10指明ip包的源地址
dst net 192.168.1.0指明ip包的目的网段

3.3协议关键字
ip,icmp,arp,rarp,tcp,udp等类型
除了这三种类型的关键字之外，其他重要的关键字如下：gateway, broadcast,less,greater
还有三种逻辑运算，取非运算是 'not ' '! ', 与运算是'and','&&';或运算是'or' ,'||'；

举例

这些关键字可以组合起来构成强大的组合条件来满足人们的需要，下面举几个例子来说明。

1.获取所有192.168.1.10 的主机收到的和发出的所有的数据包：
#tcpdump host 192.168.1.10

2.获取主机192.168.1.10和主机192.168.1.2 或192.168.1.3的通信，使用命令
#tcpdump host 192.168.1.10 and \(192.168.1.2 or 192.168.1.3 \)
注意：在命令行中使用括号时，一定要转义

3获取主机192.168.1.10除了和主机192.168.1.2之外所有主机通信的ip包
#tcpdump ip host 210.27.48.1 and ! 210.27.48.2

4.获取主机192.168.1.10接收或发出的http包，使用如下命令：
#tcpdump tcp port 80 host 192.168.1.10