tcpdump是一個(gè)很常用的網(wǎng)絡(luò)包分析工具，可以用來(lái)顯示通過(guò)網(wǎng)絡(luò)傳輸?shù)奖鞠到y(tǒng)的 TCP/IP 以及其他網(wǎng)絡(luò)的數(shù)據(jù)包。tcpdump使用 libpcap 庫(kù)來(lái)抓取網(wǎng)絡(luò)報(bào)，這個(gè)庫(kù)在幾乎在所有的 Linux/Unix 中都有。

tcpdump可以從網(wǎng)卡或之前創(chuàng)建的數(shù)據(jù)包文件中讀取內(nèi)容，也可以將包寫入文件中以供后續(xù)使用。必須是 root 用戶或者使用 sudo 特權(quán)來(lái)運(yùn)行tcpdump。

在本文中，我們將會(huì)通過(guò)一些實(shí)例來(lái)演示如何使用tcpdump命令，但首先讓我們來(lái)看看在各種 Linux 操作系統(tǒng)中是如何安裝tcpdump的。

推薦閱讀：使用 iftop 命令監(jiān)控網(wǎng)絡(luò)帶寬

安裝

tcpdump默認(rèn)在幾乎所有的 Linux 發(fā)行版中都可用，但若你的 Linux 上沒(méi)有的話，使用下面方法進(jìn)行安裝。

CentOS/RHEL

使用下面命令在 CentOS 和 RHEL 上安裝tcpdump，

$sudo yum install tcpdump*

Fedora

使用下面命令在 Fedora 上安裝tcpdump：

$dnf install tcpdump

Ubuntu/Debian/Linux Mint

在 Ubuntu/Debain/Linux Mint 上使用下面命令安裝tcpdump：

$apt-get install tcpdump

安裝好tcpdump后，現(xiàn)在來(lái)看一些例子。

案例演示

從所有網(wǎng)卡中捕獲數(shù)據(jù)包

運(yùn)行下面命令來(lái)從所有網(wǎng)卡中捕獲數(shù)據(jù)包：

$tcpdump -iany

從指定網(wǎng)卡中捕獲數(shù)據(jù)包

要從指定網(wǎng)卡中捕獲數(shù)據(jù)包，運(yùn)行：

$tcpdump-ieth0

將捕獲的包寫入文件

使用-w選項(xiàng)將所有捕獲的包寫入文件：

$tcpdump -ieth1 -wpackets_file

讀取之前產(chǎn)生的 tcpdump 文件

使用下面命令從之前創(chuàng)建的 tcpdump 文件中讀取內(nèi)容：

$tcpdump-rpackets_file

獲取更多的包信息，并且以可讀的形式顯示時(shí)間戳

要獲取更多的包信息同時(shí)以可讀的形式顯示時(shí)間戳，使用：

$tcpdump -ttttnnvvS

查看整個(gè)網(wǎng)絡(luò)的數(shù)據(jù)包

要獲取整個(gè)網(wǎng)絡(luò)的數(shù)據(jù)包，在終端執(zhí)行下面命令：

$tcpdump net192.168.1.0/24

根據(jù) IP 地址查看報(bào)文

要獲取指定 IP 的數(shù)據(jù)包，不管是作為源地址還是目的地址，使用下面命令：

$tcpdump host192.168.1.100

要指定 IP 地址是源地址或是目的地址則使用：

$tcpdump src192.168.1.100

$tcpdump dst192.168.1.100

查看某個(gè)協(xié)議或端口號(hào)的數(shù)據(jù)包

要查看某個(gè)協(xié)議的數(shù)據(jù)包，運(yùn)行下面命令：

$tcpdump ssh

要捕獲某個(gè)端口或一個(gè)范圍的數(shù)據(jù)包，使用：

$tcpdump port22

$tcpdump portrange22-125

我們也可以與src和dst選項(xiàng)連用來(lái)捕獲指定源端口或指定目的端口的報(bào)文。

我們還可以使用“與” （and，&&）、“或” （or，||) 和“非”（not，!） 來(lái)將兩個(gè)條件組合起來(lái)。當(dāng)我們需要基于某些條件來(lái)分析網(wǎng)絡(luò)報(bào)文是非常有用。

使用“與”

可以使用and或者符號(hào)&&來(lái)將兩個(gè)或多個(gè)條件組合起來(lái)。比如：

$tcpdump src192.168.1.100 && port22 -wssh_packets

使用“或”

“或”會(huì)檢查是否匹配命令所列條件中的其中一條，像這樣：

$tcpdump src192.168.1.100ordst192.168.1.50 && port22 -wssh_packets

$tcpdump port443or80 -whttp_packets

使用“非”

當(dāng)我們想表達(dá)不匹配某項(xiàng)條件時(shí)可以使用“非”，像這樣：

$tcpdump -ieth0 src port not22

這會(huì)捕獲 eth0 上除了 22 號(hào)端口的所有通訊。

我們的教程至此就結(jié)束了，在本教程中我們講解了如何安裝并使用tcpdump來(lái)捕獲網(wǎng)絡(luò)數(shù)據(jù)包。如有任何疑問(wèn)或建議，歡迎留言。