Tcpdump简直就是命令行抓包中的侦探

来源 | wljsghq

Tcpdump是一款功能强大的命令行包分析工具，可用于捕获和显示计算机网络中传输或接收的数据包。它由Lawrence Berkeley National Laboratory开发，并作为一个开源项目发布。Tcpdump允许用户监控和分析网络通信，从而帮助网络管理员和安全专业人员进行网络故障排除和分析。无论是日常的网络维护，还是网络安全事件的调查，Tcpdump都可以提供强大的支持。
安装Tcpdump
Tcpdump通常预装在许多类Unix系统中，如Linux和macOS。然而，如果你的系统中没有预装Tcpdump，可以使用包管理器来安装它。以下是一些常见系统的安装方法：
在Debian系系统（如Ubuntu）上：
sudo apt-get update
sudo apt-get install tcpdump
在Red Hat系系统（如CentOS、Fedora）上：
sudo yum install tcpdump
在macOS上（使用Homebrew）：
brew install tcpdump
安装完成后，可以通过以下命令检查Tcpdump是否成功安装：
tcpdump --version
如果安装成功，该命令将显示Tcpdump的版本信息。
Tcpdump命令语法
Tcpdump命令的基本语法如下：
tcpdump [选项] [表达式]
选项（options）用于修改Tcpdump的行为，例如指定捕获接口、输出格式等。表达式（expression）用于过滤数据包，只捕获与表达式匹配的数据包。
常用选项包括：
-i：指定要监听的网络接口。例如，-i eth0 表示监听eth0接口。
-c：指定要捕获的数据包数量。例如，-c 10 表示捕获10个数据包。
-w：将捕获的数据包写入文件。例如，-w capture.pcap 表示将数据包保存到capture.pcap文件中。
-r：从文件读取数据包。例如，-r capture.pcap 表示从capture.pcap文件中读取数据包。
示例命令：
sudo tcpdump -i eno2
这条命令将捕获eno2接口上的所有数据包，并在终端显示。
Tcpdump命令基本用法
检查可用网络接口
在使用Tcpdump之前，首先需要知道系统中有哪些网络接口可以用于捕获数据包。使用-D选项可以列出系统中的所有网络接口：
sudo tcpdump -D
或者使用--list-interfaces选项：
sudo tcpdump --list-interfaces
捕获特定接口的数据包
默认情况下，Tcpdump将捕获所有接口上的数据包。为了捕获特定接口的数据包，可以使用-i选项指定接口名称。例如，要捕获eth0接口上的数据包，可以使用以下命令：
sudo tcpdump -i eth0
执行此命令后，Tcpdump将开始捕获eth0接口上的数据包并显示在终端上。
预设捕获数据包数量
在某些情况下，您可能希望捕获一定数量的数据包然后自动停止。使用-c选项可以预设捕获的数据包数量。例如，要捕获4个数据包，可以使用以下命令：
sudo tcpdump -c 4 -i eth0
执行此命令后，Tcpdump将捕获4个数据包，然后自动停止。
获取详细输出
在进行网络分析时，详细的输出信息有助于理解数据包的具体内容。使用-v选项可以获取详细输出。例如：
sudo tcpdump -c 6 -v -i eth0
使用-vv或-vvv选项可以进一步增加详细级别：
sudo tcpdump -vv -i eth0
sudo tcpdump -vvv -i eth0
详细输出将显示更多的协议层信息和数据包内容。
以ASCII格式打印捕获的数据
有时，您可能希望以ASCII格式查看数据包的内容，尤其是在分析文本协议（如HTTP）时。使用-A选项可以以ASCII格式打印数据包内容：
sudo tcpdump -A -i eth0
使用-XX选项可以同时以ASCII和HEX格式打印数据包内容：
sudo tcpdump -XX -i eth0
这有助于深入分析数据包的具体内容和结构。
Tcpdump 高级用法
捕获特定源IP的数据包
在进行网络分析时，有时需要捕获来自特定源IP的数据包。使用src选项可以指定源IP地址。例如，要捕获源IP为192.168.56.11的数据包，可以使用以下命令：
sudo tcpdump -i eth1 -c 5 src 192.168.56.11
这条命令将在eth1接口上捕获源IP为192.168.56.11的前5个数据包。
捕获发往特定目标IP的数据包
类似地，使用dst选项可以指定目标IP地址。例如，要捕获发往目标IP为192.168.56.11的数据包，可以使用以下命令：
sudo tcpdump -i eth1 -c 5 dst 192.168.56.11
这条命令将在eth1接口上捕获发往目标IP为192.168.56.11的前5个数据包。
使用过滤选项
过滤数据包是Tcpdump的一项重要功能，可以根据特定条件捕获特定的数据包，从而减少不必要的流量，使分析更加简单高效。Tcpdump支持多种过滤条件，包括端口、协议、主机等。
根据端口号过滤
要捕获特定端口的数据包，可以使用port选项。例如，要捕获端口22（SSH）的数据包，可以使用以下命令：
sudo tcpdump -i eth0 port 22
这条命令将捕获eth0接口上端口22的所有数据包。
根据协议过滤
要根据协议过滤数据包，可以使用proto选项。例如，要捕获TCP协议的数据包，可以使用以下命令：
sudo tcpdump -i eth0 proto tcp
也可以使用协议号进行过滤，TCP协议的协议号为6，因此以下命令等效于上面的命令：
sudo tcpdump -i eth0 proto 6
根据主机过滤
要捕获来自或发往特定主机的数据包，可以使用host选项。例如，要捕获IP地址为192.168.56.10的主机的数据包，可以使用以下命令：
sudo tcpdump -i eth0 host 192.168.56.10
这条命令将捕获eth0接口上IP地址为192.168.56.10的所有数据包，包括该主机发出的和接收的数据包。
组合多个过滤规则
Tcpdump支持组合多个过滤规则，从而实现更复杂的过滤条件。例如，要捕获来自特定主机且端口为80或443（HTTP和HTTPS）的数据包，可以使用以下命令：
sudo tcpdump -i eth1 -c 50 "host 192.168.56.11 and (port 443 or port 80)"
这条命令将在eth1接口上捕获IP地址为192.168.56.11且端口为443或80的前50个数据包。
保存捕获的数据
在进行长时间的网络监控或需要后续分析时，将捕获的数据保存到文件是非常有用的。使用-w选项可以将捕获的数据包写入文件。例如，要将捕获的数据包保存到文件my_capture.pcap，可以使用以下命令：
sudo tcpdump -i eth0 -c 10 -w my_capture.pcap
这条命令将在eth0接口上捕获10个数据包，并将它们保存到文件my_capture.pcap。
读取保存的数据
保存的数据包可以使用Tcpdump或其他分析工具（如Wireshark）进行后续分析。使用-r选项可以从文件中读取数据包。例如，要读取文件my_capture.pcap中的数据包，可以使用以下命令：
tcpdump -r my_capture.pcap
这条命令将读取并显示文件my_capture.pcap中的数据包内容。
实战
分析HTTP流量
HTTP流量分析可以帮助识别潜在的网络问题和安全威胁。以下命令将捕获HTTP流量并保存到文件http_traffic.pcap中：
sudo tcpdump -i eth0 -c 100 -w http_traffic.pcap port 80
然后可以使用Wireshark打开http_traffic.pcap文件进行详细分析。
分析DNS查询
捕获DNS查询可以帮助识别DNS问题。以下命令将捕获DNS查询并保存到文件dns_queries.pcap中：
sudo tcpdump -i eth0 -c 50 -w dns_queries.pcap port 53
同样，可以使用Wireshark或Tcpdump读取并分析该文件。
检测网络攻击
Tcpdump可以用于检测各种网络攻击，如DDoS攻击、ARP欺骗等。例如，以下命令将捕获来自IP地址192.168.1.100的大量数据包，以检测潜在的DDoS攻击：
sudo tcpdump -i eth0 -c 1000 -w ddos_attack.pcap src 192.168.1.100
捕获的数据包可以通过后续分析确定是否存在攻击行为。
Tcpdump 高级功能
数据包的时间戳
在捕获网络流量时，数据包的时间戳信息对于分析网络性能和故障排除非常重要。Tcpdump提供了多种时间戳选项来满足不同的需求。
标准时间戳
默认情况下，Tcpdump会在输出中包含每个数据包的时间戳信息。时间戳格式通常是“hh:mm:ss.milliseconds”。例如：
sudo tcpdump -i eth0 -c 5
输出示例：
09:20:12.123456 IP 192.168.1.1.54321 > 192.168.1.2.80: Flags [S], seq 0, win 65535, options [mss 1460,sackOK,TS val 123456 ecr 0,nop,wscale 6], length 0
微秒和秒精度
使用-tt选项可以将时间戳显示为自1970年1月1日以来的秒数（微秒精度）：
sudo tcpdump -i eth0 -c 5 -tt
日期和时间
使用-ttt选项可以显示相对时间戳，即从第一个捕获的数据包开始的时间间隔（以毫秒为单位）：
sudo tcpdump -i eth0 -c 5 -ttt
捕获特定协议的数据包
Tcpdump支持捕获和分析多种网络协议的数据包。以下是一些常见协议的捕获示例：
捕获TCP流量
要捕获所有TCP流量，可以使用以下命令：
sudo tcpdump -i eth0 tcp
捕获UDP流量
要捕获所有UDP流量，可以使用以下命令：
sudo tcpdump -i eth0 udp
捕获ICMP流量
要捕获所有ICMP（ping）流量，可以使用以下命令：
sudo tcpdump -i eth0 icmp
捕获并分析HTTP流量
HTTP流量是网络分析中最常见的流量类型之一。Tcpdump可以用于捕获和分析HTTP请求和响应。
捕获HTTP请求和响应
要捕获HTTP请求和响应，可以使用以下命令：
sudo tcpdump -i eth0 -A -c 10 port 80
使用-A选项将数据包内容以ASCII格式显示，从而更容易读取HTTP请求和响应的内容。
分析HTTP请求方法
要分析特定的HTTP请求方法（如GET请求），可以结合grep命令进行过滤。例如，要捕获并分析GET请求，可以使用以下命令：
sudo tcpdump -i eth0 -A -c 10 port 80 | grep "GET"
使用表达式进行复杂过滤
Tcpdump支持使用复杂的布尔表达式来进行高级过滤。这些表达式可以使用逻辑运算符（如and、or、not）进行组合，从而实现更复杂的过滤条件。
捕获特定主机和端口的数据包
例如，要捕获来自特定主机且目的端口为80的数据包，可以使用以下命令：
sudo tcpdump -i eth0 src 192.168.1.1 and dst port 80
捕获特定子网的数据包
要捕获来自特定子网的数据包，可以使用以下命令：
sudo tcpdump -i eth0 net 192.168.1.0/24
排除特定主机的数据包
要捕获除特定主机外的所有数据包，可以使用not运算符。例如，排除来自192.168.1.1的数据包：
sudo tcpdump -i eth0 not src 192.168.1.1
数据包内容分析
Tcpdump不仅可以捕获数据包，还可以对数据包的内容进行详细分析。使用不同的选项可以查看数据包的详细信息，包括头部信息和负载数据。
查看数据包头部信息
使用-v、-vv或-vvv选项可以查看数据包的详细头部信息。例如：
sudo tcpdump -i eth0 -c 5 -vv
查看数据包负载数据
使用-X或-XX选项可以查看数据包的负载数据。例如：
sudo tcpdump -i eth0 -c 5 -XX
将数据包导出到文件
Tcpdump允许将捕获的数据包导出到文件中，以便后续分析。导出的文件通常以pcap格式保存，可以使用Wireshark等工具进行分析。
将数据包导出到文件
使用-w选项可以将数据包导出到文件。例如：
sudo tcpdump -i eth0 -c 100 -w capture.pcap
读取导出的文件
使用-r选项可以读取导出的文件。例如：
tcpdump -r capture.pcap
版权声明：本文来源网络，免费传达知识，版权归原作者所有。如涉及作品版权问题，请联系我进行删除。
‧‧‧‧‧‧‧‧‧‧‧‧‧‧‧‧  END  ‧‧‧‧‧‧‧‧‧‧‧‧‧‧‧
关注我的微信公众号，回复“星球”加入知识星球，有问必答。

点击“阅读原文”查看知识星球详情，欢迎点分享、收藏、点赞、在看。