文章目录
- 1. 前言
- 2. 命令介绍
- 3. 常见选项
- 3.1. 接口与基本控制
- 3.2 输出控制
- 3.3 文件操作
- 3.4 高级调试
- 4. 过滤表达式
- 4.1 协议类型
- 4.2 方向与地址
- 4.3 逻辑运算符
- 5. 典型使用场景
- 5.1 网络故障排查
- 5.2 安全分析与入侵检测
- 5.3 性能分析与优化
1. 前言
⽹络世界中的数据包交互我们⾁眼是看不⻅的,这个时候对于我们而言就是很抽象,如果可以把交互过程“可视化”,我们就更容易了解网络了。
tcpdump和wireshark就是2个分析网络的神器。
tcpdump 仅⽀持命令⾏格式使⽤,常⽤在 Linux 服务器中抓取和分析⽹络包。
Wireshark 除了可以抓包外,还提供了可视化分析⽹络包的图形⻚⾯。
这两个工具实际上是搭配使⽤的,先⽤ tcpdump 命令在 Linux 服务器上抓包,接着把抓包的⽂件拖出到
Windows 电脑后,⽤ Wireshark 可视化分析。如果实在 win 环境下,直接使用 Wireshark 就可以了。
本文主要针对tcpdump抓包进行介绍。
2. 命令介绍
tcpdump 命令格式如下:
tcpdump [ -adeflnNOpqStvx ] [ -c count ] [ -F file ]
[ -i interface ] [ -r file ] [ -s snaplen ]
[ -T type ] [ -w file ] [ expression ]# 简化一下命令形式
tcpdump [选项] [过滤表达式]
核心组成:
- 选项:控制抓包行为(如接口选择、输出格式、保存文件等)。
- 过滤表达式:基于协议、IP、端口等条件筛选数据包
3. 常见选项
3.1. 接口与基本控制
| 选项 | 作用 | 示例 |
|---|---|---|
-i <接口> | 指定监听网卡(如eth0、any) | tcpdump -i eth0(监听eth0网卡) |
-c <数量> | 抓取指定数量包后停止 | tcpdump -c 10(抓10个包后退出) |
-D | 列出系统可用网络接口 | tcpdump -D(查看所有接口名称) |
3.2 输出控制
| 选项 | 作用 | 示例 |
|---|---|---|
-n | 禁用DNS解析,直接显示IP地址 | tcpdump -n(显示192.168.1.1而非主机名) |
-nn | 禁用端口服务名解析(显示数字端口) | tcpdump -nn(显示80而非HTTP) |
-v/-vv | 输出详细信息(TTL、协议头等) | tcpdump -vv(显示完整协议头) |
-A | 以ASCII格式显示数据内容 | tcpdump -A(查看HTTP明文请求) |
-X | 十六进制+ASCII显示数据包 | tcpdump -X(分析二进制协议) |
3.3 文件操作
| 选项 | 作用 | 示例 |
|---|---|---|
-w <文件> | 保存抓包数据到文件 | tcpdump -w capture.pcap(保存为Wireshark可读格式) |
-r <文件> | 读取已保存的抓包文件 | tcpdump -r capture.pcap(分析离线数据) |
-C <大小> | 限制抓包文件大小(单位MB) | tcpdump -C 100(每100MB分割文件) |
3.4 高级调试
| 选项 | 作用 | 示例 |
|---|---|---|
-e | 显示数据链路层头部(MAC地址) | tcpdump -e(分析ARP或交换机转发) |
-t | 不显示时间戳 | tcpdump -t(简化输出) |
4. 过滤表达式
过滤表达式由 协议类型、方向、逻辑运算符 组合构成:
4.1 协议类型
-
协议:
tcp、udp、icmp、arp等。 -
示例:
tcpdump icmp(仅抓ICMP包)# ether:icmp协议中没有源ip和目的ip,所以需要依赖于ether 协议 tcpdump -i wlan0 ether src 48:8f:4c:ee:c6:aa #抓取源mac为48:8f:4c:ee:c6:aa的数据包
4.2 方向与地址
- 方向:
src(源)、dst(目标)、host【src or dst(双向)】。 - IP/端口:
host 192.168.1.1、port 80、portrange 1-1024(portrange用于指定端口范围,格式为portrange start-end)
sudo tcpdump 'src 192.168.1.106 and src port 22' # 抓取来自192.168.1.106的SSH流量
4.3 逻辑运算符
- 与:
and(如tcp and port 80)。 - 或:
or(如host 192.168.1.1 or 192.168.1.2)。 - 非:
not(如not arp)
5. 典型使用场景
5.1 网络故障排查
-
场景:当遇到网络连接延迟、丢包或服务不可达时,通过抓包分析数据包交互过程。
-
示例:
-
排查 SSH 连接缓慢
sudo tcpdump -i eth0 port 22若发现大量 DNS 查询请求,可能是 DNS 解析延迟导致问题。
-
分析 TCP 握手失败
sudo tcpdump -i wlan0 'tcp[tcpflags] & (tcp-syn | tcp-ack) != 0' -
检测ICMP不可达错误
sudo tcpdump 'icmp[0] == 3' # 抓取ICMP目标不可达消息
-
5.2 安全分析与入侵检测
-
场景:检测异常流量(如端口扫描、DDoS 攻击)或未授权访问。
-
示例:
-
捕获高频 SYN 包(可能为 SYN Flood 攻击):
sudo tcpdump -i wlan0 'tcp[tcpflags] & tcp-syn != 0 and tcp[tcpflags] & tcp-ack == 0' | wc -l -
分析恶意 HTTP 请求:
sudo tcpdump -i wlan0 'port 80 and (tcp port 80) and (tcp[tcpflags] & tcp-push != 0)' | grep "GET /malicious.php"
-
5.3 性能分析与优化
-
场景:监控网络带宽占用、协议开销或优化网络参数(如 TCP 窗口大小)。
-
示例:
-
统计特定端口的流量速率:
sudo tcpdump -i wlan0 -c 1000 port 443 | pv -l -s 10M > /dev/null -
分析 TCP 重传率:
sudo tcpdump -i wlan0 'tcp & 0x08 != 0' #通过标志位 0x08(重传标志)判断丢包情况
-
)
