通過實例學習 tcpdump 命令

tcpdump 是一個很常用的網路包分析工具，可以用來顯示通過網路傳輸到本系統的 TCP/IP 以及其他網路的數據包。tcpdump 使用 libpcap 庫來抓取網路報，這個庫在幾乎在所有的 Linux/Unix 中都有。

tcpdump 可以從網卡或之前創建的數據包文件中讀取內容，也可以將包寫入文件中以供後續使用。必須是 root 用戶或者使用 sudo 特權來運行 tcpdump。

在本文中，我們將會通過一些實例來演示如何使用 tcpdump 命令，但首先讓我們來看看在各種 Linux 操作系統中是如何安裝 tcpdump 的。

• 推薦閱讀：使用 iftop 命令監控網路帶寬

安裝

tcpdump 默認在幾乎所有的 Linux 發行版中都可用，但若你的 Linux 上沒有的話，使用下面方法進行安裝。

CentOS/RHEL

使用下面命令在 CentOS 和 RHEL 上安裝 tcpdump，

$ sudo yum install tcpdump*

Fedora

使用下面命令在 Fedora 上安裝 tcpdump：

$ dnf install tcpdump

Ubuntu/Debian/Linux Mint

在 Ubuntu/Debain/Linux Mint 上使用下面命令安裝 tcpdump：

$ apt-get install tcpdump

安裝好 tcpdump 後，現在來看一些例子。

案例演示

從所有網卡中捕獲數據包

運行下面命令來從所有網卡中捕獲數據包：

$ tcpdump -i any

從指定網卡中捕獲數據包

要從指定網卡中捕獲數據包，運行：

$ tcpdump -i eth0

將捕獲的包寫入文件

使用 -w 選項將所有捕獲的包寫入文件：

$ tcpdump -i eth1 -w packets_file

讀取之前產生的 tcpdump 文件

使用下面命令從之前創建的 tcpdump 文件中讀取內容：

$ tcpdump -r packets_file

獲取更多的包信息，並且以可讀的形式顯示時間戳

要獲取更多的包信息同時以可讀的形式顯示時間戳，使用：

$ tcpdump -ttttnnvvS

查看整個網路的數據包

要獲取整個網路的數據包，在終端執行下面命令：

$ tcpdump net 192.168.1.0/24

根據 IP 地址查看報文

要獲取指定 IP 的數據包，不管是作為源地址還是目的地址，使用下面命令：

$ tcpdump host 192.168.1.100

要指定 IP 地址是源地址或是目的地址則使用：

$ tcpdump src 192.168.1.100
$ tcpdump dst 192.168.1.100

查看某個協議或埠號的數據包

要查看某個協議的數據包，運行下面命令：

$ tcpdump ssh

要捕獲某個埠或一個範圍的數據包，使用：

$ tcpdump port 22
$ tcpdump portrange 22-125

我們也可以與 src 和 dst 選項連用來捕獲指定源埠或指定目的埠的報文。

我們還可以使用「與」 （and，&&）、「或」 （or，|| ) 和「非」（not，!） 來將兩個條件組合起來。當我們需要基於某些條件來分析網路報文是非常有用。

使用「與」

可以使用 and 或者符號 && 來將兩個或多個條件組合起來。比如：

$ tcpdump src 192.168.1.100 && port 22 -w ssh_packets

使用「或」

「或」會檢查是否匹配命令所列條件中的其中一條，像這樣：

$ tcpdump src 192.168.1.100 or dst 192.168.1.50 && port 22 -w ssh_packets
$ tcpdump port 443 or 80 -w http_packets

使用「非」

當我們想表達不匹配某項條件時可以使用「非」，像這樣：

$ tcpdump -i eth0 src port not 22

這會捕獲 eth0 上除了 22 號埠的所有通訊。

我們的教程至此就結束了，在本教程中我們講解了如何安裝並使用 tcpdump 來捕獲網路數據包。如有任何疑問或建議，歡迎留言。

via: http://linuxtechlab.com/learn-use-tcpdump-command-examples/

作者：Shusain 譯者：lujun9972 校對：wxy

本文由 LCTT 原創編譯，Linux中國 榮譽推出

本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive