Linux抓包命令tcpdump使用技巧大全

本文涉及的产品
全局流量管理 GTM,标准版 1个月
公共DNS(含HTTPDNS解析),每月1000万次HTTP解析
云解析 DNS,旗舰版 1个月
简介: 【7月更文挑战第10天】

tcpdump是一个网络数据包分析工具,由Van Jacobson、Craig Leres和Steven McCanne在1988年开发。它是一个命令行工具,能够实时地捕获和显示通过网络接口传输的数据包。tcpdump基于libpcap库工作,libpcap是一个跨平台的C/C++库,用于捕获网络数据包。

tcpdump的主要功能包括:

  • 实时捕获数据包并显示
  • 保存捕获的数据包到文件以供以后分析
  • 过滤数据包以捕获特定的网络流量

为什么使用tcpdump

tcpdump广泛用于网络诊断、安全监控和故障排查。以下是使用tcpdump的几个主要原因:

  1. 实时监控:tcpdump能够实时捕获并显示网络流量,帮助管理员和开发者迅速了解网络状况。
  2. 详细解析:tcpdump解析各种网络协议,提供详细的包信息,有助于深入分析网络问题。
  3. 灵活过滤:tcpdump支持复杂的过滤条件,使用户可以精准地捕获感兴趣的流量。
  4. 轻量级:tcpdump运行在命令行界面,无需图形界面,占用系统资源较少,适合在服务器和嵌入式设备上使用。
  5. 广泛兼容:tcpdump支持多种操作系统,包括Linux、BSD、macOS和Windows(通过WinDump)。

tcpdump的基本工作原理

tcpdump通过libpcap库与操作系统内核进行交互,从网络接口捕获数据包。其基本工作流程如下:

  1. 打开网络接口:tcpdump通过libpcap库打开指定的网络接口,进入混杂模式(如果需要),捕获所有通过该接口的数据包。
  2. 捕获数据包:网络接口驱动程序将接收到的数据包传递给libpcap库,libpcap库再将这些数据包传递给tcpdump。
  3. 过滤数据包:tcpdump使用BPF(Berkeley Packet Filter)语法对数据包进行过滤,只捕获满足用户指定条件的数据包。
  4. 显示或保存数据包:满足过滤条件的数据包被解析并显示在终端,或保存到文件中供以后分析。

tcpdump的工作原理图如下:

+-----------------+      +-------------------+
|  Network        |      |  tcpdump          |
|  Interface      |      |  Application      |
|                 |<---->|                   |
+-----------------+      +-------------------+
       ^                           ^
       |                           |
       v                           v
+-----------------+      +-------------------+
|  Kernel         |      |  libpcap Library  |
|  Network Stack  |      |                   |
+-----------------+      +-------------------+

下面是一个简单的tcpdump实例:

sudo tcpdump -i eth0

解释:

  • sudo:tcpdump需要管理员权限运行,因为它需要访问网络接口。
  • tcpdump:调用tcpdump程序。
  • -i eth0:指定捕获数据包的网络接口为eth0。

运行以上命令后,tcpdump会实时显示通过eth0接口的所有数据包。输出示例如下:

18:00:00.123456 IP 192.168.1.2.12345 > 192.168.1.1.80: Flags [S], seq 123456789, win 65535, options [mss 1460], length 0
18:00:00.123789 IP 192.168.1.1.80 > 192.168.1.2.12345: Flags [S.], seq 987654321, ack 123456790, win 65535, options [mss 1460], length 0

每行输出代表一个数据包,包含时间戳、源地址和端口、目标地址和端口、协议标志位、序列号、确认号、窗口大小、选项和数据长度等信息。

实际应用场景

网络诊断

tcpdump广泛用于网络诊断。通过捕获和分析网络流量,可以识别网络连接问题、延迟、丢包和带宽瓶颈。例如,当某个应用程序无法连接到服务器时,可以使用tcpdump捕获通信数据包,检查数据包是否到达服务器,是否有响应,以及是否存在重传或丢包。

安全监控

tcpdump是一个强大的安全监控工具,可以用于检测网络攻击、入侵和其他安全事件。通过捕获和分析异常流量,管理员可以识别DoS攻击、扫描行为和未授权访问。例如,可以使用tcpdump捕获特定端口的流量,检测异常的高频连接尝试。

性能调优

tcpdump可以用于性能调优,通过分析网络流量,识别性能瓶颈,优化网络配置和应用程序性能。例如,通过捕获和分析HTTP请求和响应,可以识别请求延迟、响应时间和带宽使用情况,进而优化Web服务器和网络配置。

安装与基本使用

tcpdump可以在大多数Linux发行版中通过包管理器直接安装。以下是不同操作系统上的安装方法:

在Debian和Ubuntu系统中,可以使用apt-getapt命令安装tcpdump:

sudo apt-get update
sudo apt-get install tcpdump

或者:

sudo apt update
sudo apt install tcpdump

在Red Hat和CentOS系统中,可以使用yum命令安装tcpdump:

sudo yum install tcpdump

在Fedora系统中,可以使用dnf命令安装tcpdump:

sudo dnf install tcpdump

在Arch Linux系统中,可以使用pacman命令安装tcpdump:

sudo pacman -S tcpdump

如果需要最新版本或自定义安装,可以从源代码编译和安装tcpdump。以下是从源代码安装tcpdump的步骤:

  1. 下载libpcap和tcpdump的源代码:
wget http://www.tcpdump.org/release/libpcap-1.10.1.tar.gz
wget http://www.tcpdump.org/release/tcpdump-4.99.1.tar.gz
  1. 解压缩下载的文件:
tar -xzf libpcap-1.10.1.tar.gz
tar -xzf tcpdump-4.99.1.tar.gz
  1. 编译和安装libpcap:
cd libpcap-1.10.1
./configure
make
sudo make install
  1. 编译和安装tcpdump:
cd ../tcpdump-4.99.1
./configure
make
sudo make install

安装完成后,可以使用tcpdump --version命令验证安装是否成功:

tcpdump --version

tcpdump的基本命令与选项

tcpdump的基本命令格式如下:

sudo tcpdump [选项] [表达式]

以下是一些常用的tcpdump选项:

  • -i:指定网络接口,例如-i eth0
  • -n:不进行主机名解析,直接显示IP地址。
  • -v:显示详细信息,可以叠加使用-vv-vvv获得更详细的信息。
  • -c:捕获指定数量的数据包,例如-c 10捕获10个数据包。
  • -w:将捕获的数据包写入文件,例如-w file.pcap
  • -r:从文件读取捕获的数据包,例如-r file.pcap
  • -s:设置捕获的数据包大小,例如-s 0表示捕获整个数据包。
  • -tt:显示数据包的绝对时间戳。

使用实例

  1. 捕获enp3s0接口的所有数据包:
sudo tcpdump -i enp3s0

  1. 捕获enp3s0接口的10个数据包:
sudo tcpdump -i enp3s0 -c 10

  1. 捕获enp3s0接口的所有数据包并保存到文件:
sudo tcpdump -i enp3s0 -w capture.pcap

  1. 从文件读取并显示捕获的数据包:
sudo tcpdump -r capture.pcap

  1. 捕获指定主机的数据包:
sudo tcpdump -i eth0 host 192.168.1.1
  1. 捕获指定端口的数据包:
sudo tcpdump -i eth0 port 80

数据包捕获的基础

在多网卡系统中,需要指定使用的接口。可以通过以下命令查看系统中的网络接口:

ifconfig

或者使用ip命令:

ip link show

列出所有接口后,可以使用-i选项指定需要捕获数据包的接口。例如,捕获eth0接口的数据包:

sudo tcpdump -i eth0

tcpdump支持BPF(Berkeley Packet Filter)语法,用于制定复杂的过滤规则。以下是一些常用的过滤规则:

  • 捕获特定主机的数据包:
sudo tcpdump host 192.168.1.1
  • 捕获特定端口的数据包:
sudo tcpdump port 80
  • 捕获特定协议的数据包:
sudo tcpdump tcp

可以使用逻辑运算符结合多个过滤条件,例如:

  • 捕获特定主机和端口的数据包:
sudo tcpdump host 192.168.1.1 and port 80
  • 捕获除了特定端口以外的数据包:
sudo tcpdump not port 22

时间戳与数据包大小的控制

  • 使用-tt选项显示数据包的绝对时间戳:
sudo tcpdump -tt -i eth0
  • 使用-s选项设置捕获的数据包大小,例如-s 0表示捕获整个数据包:
sudo tcpdump -s 0 -i eth0

进阶使用技巧

高级过滤规则

结合多个过滤条件使用逻辑运算符:

sudo tcpdump 'host 192.168.1.1 and port 80'

使用反向过滤:

sudo tcpdump 'not port 22'

保存和读取捕获的数据包

将捕获的数据包保存到文件:

sudo tcpdump -w capture.pcap

从文件读取数据包:

sudo tcpdump -r capture.pcap

结合Wireshark使用

tcpdump捕获的数据包可以导入Wireshark进行图形化分析。Wireshark是一款功能强大的网络协议分析工具,可以对tcpdump捕获的数据进行深入的解析。保存数据包到文件后,可以在Wireshark中打开:

wireshark capture.pcap

解析与分析

网络数据包通常包括以下几个部分:

  • 链路层头部
  • 网络层头部(例如IP头部)
  • 传输层头部(例如TCP/UDP头部)
  • 应用层数据

tcpdump的输出通常包括时间戳、源和目标地址、协议类型以及数据包的详细内容。例如:

20:15:10.123456 IP 192.168.1.1.12345 > 192.168.1.2.80: Flags [S], seq 123456789, win 65535, options [mss 1460], length 0

每行输出代表一个数据包,包含以下信息:

  • 时间戳:数据包捕获时间。
  • 协议类型:例如IP、ARP、ICMP等。
  • 源地址和端口:例如192.168.1.1.12345。
  • 目标地址和端口:例如192.168.1.2.80。
  • 标志位:例如[S]表示TCP SYN包。
  • 序列号:例如seq 123456789。
  • 窗口大小:例如win 65535。
  • 选项:例如options [mss 1460]。
  • 数据长度:例如length 0。

常见协议的解析

  • TCP:包括标志位、序列号、确认号等信息。
  • UDP:包括源端口和目标端口。
  • ICMP:包括类型和代码。
  • DNS:包括查询和响应的详细信息。

tcpdump还有很多其他的功能,可以访问其官网进行查阅:

https://www.tcpdump.org/

目录
相关文章
|
1月前
|
Web App开发 网络协议 数据可视化
tcpdump 和 wireshark 抓包工具 ,介绍、安装、命令使用。 详解三次握手、四次挥手。两个结合使用,会更好分析报文
这篇文章详细介绍了网络抓包工具tcpdump和Wireshark的使用,包括安装、命令选项、过滤器语法,以及如何通过分析TCP的三次握手和四次挥手来理解网络通信细节。
279 1
|
1月前
|
安全 关系型数据库 MySQL
Linux下安装mysql8.0(以tar.xz包安装--编译安装)
通过上述步骤,您完成了从下载、编译、安装到配置MySQL 8.0的全过程。此过程虽然较为复杂,但提供了对MySQL安装环境的完全控制,有助于满足特定的部署需求。在实际操作中,根据具体的系统环境,可能还需调整部分步骤或解决未预见的依赖问题。始终参考官方文档和社区资源,保持安装过程与最新版本的兼容性。
683 67
|
14天前
|
监控 网络协议
tcpdump 常用命令
【10月更文挑战第31天】本文介绍了工作中常用的`tcpdump`命令,通过实例展示了如何使用`tcpdump &#39;port 10000&#39; -i eth0 -S`监控TCP连接的三次握手和四次挥手过程。具体包括服务端和客户端的交互细节,以及每个步骤的详细解释。
54 11
|
1月前
|
Linux Docker 容器
Centos安装docker(linux安装docker)——超详细小白可操作手把手教程,包好用!!!
本篇博客重在讲解Centos安装docker,经博主多次在不同服务器上测试,极其的稳定,尤其是阿里的服务器,一路复制命令畅通无阻。
675 4
Centos安装docker(linux安装docker)——超详细小白可操作手把手教程,包好用!!!
|
3月前
tcpdump抓包命令详解
tcpdump抓包命令详解
|
3月前
|
存储 监控 网络协议
在Linux中,如何使用 tcpdump 监听主机为 192.168.1.1,tcp 端⼝为 80 的数据,并将将输出结果保存输出到tcpdump.log?
在Linux中,如何使用 tcpdump 监听主机为 192.168.1.1,tcp 端⼝为 80 的数据,并将将输出结果保存输出到tcpdump.log?
|
3月前
|
机器学习/深度学习 Ubuntu Linux
在Linux中,如何按照该要求抓包:只过滤出访问http服务的,目标ip为192.168.0.111,一共抓1000个包,并且保存到1.cap文件中?
在Linux中,如何按照该要求抓包:只过滤出访问http服务的,目标ip为192.168.0.111,一共抓1000个包,并且保存到1.cap文件中?
|
3月前
|
存储 运维 安全
在Linux中,如何使用tcpdump和tshark进行实时数据包捕获?
在Linux中,如何使用tcpdump和tshark进行实时数据包捕获?
|
3月前
|
Linux 网络安全 容器
【Azure App Service for Linux】Linux Web App如何安装系统未安装的包
【Azure App Service for Linux】Linux Web App如何安装系统未安装的包
|
3月前
|
监控 网络协议 Linux
在Linux中,如何使用 tcpdump 嗅探 80 端口的访问看看谁最⾼?
在Linux中,如何使用 tcpdump 嗅探 80 端口的访问看看谁最⾼?