Linux中如何利用tcpdump抓包

這篇文章將為大家詳細講解有關Linux中如何利用tcpdump抓包，小編覺得挺實用的，因此分享給大家做個參考，希望大家閱讀完這篇文章后可以有所收獲。

很多時候我們的系統部署在Linux系統上面，在一些情況下定位問題就需要查看各個系統之間發送數據報文是否正常，下面我就簡單講解一下如何使用tcpdump抓包

網絡數據包截獲分析工具。支持針對網絡層、協議、主機、網絡或端口的過濾。并提供and、or、not等邏輯語句幫助去除無用的信息。

tcpdump - dump traffic on a network

tcpdump的命令格式

tcpdump的參數眾多，通過man tcpdump可以查看tcpdump的詳細說明，這邊只列一些自己常用的參數：

tcpdump [-i 網卡] -nnAX '表達式'

各參數說明如下：

• -i：interface 監聽的網卡。

• -nn：表示以ip和port的方式顯示來源主機和目的主機，而不是用主機名和服務。

• -A：以ascii的方式顯示數據包，抓取web數據時很有用。

• -X：數據包將會以16進制和ascii的方式顯示。

• 表達式：表達式有很多種，常見的有：host 主機；port 端口；src host 發包主機；dst host 收包主機。多個條件可以用and、or組合，取反可以使用!，更多的使用可以查看man 7 pcap-filter。

例子

不指定任何參數

監聽第一塊網卡上經過的數據包。主機上可能有不止一塊網卡，所以經常需要指定網卡。

tcpdump

監聽特定網卡

tcpdump -i en0

監聽特定主機

例子：監聽本機跟主機182.254.38.55之間往來的通信包。

備注：出、入的包都會被監聽。

tcpdump host 182.254.38.55

特定來源、目標地址的通信

特定來源

tcpdump src host hostname

特定目標地址

tcpdump dst host hostname

如果不指定src跟dst，那么來源 或者目標 是hostname的通信都會被監聽

tcpdump host hostname

特定端口

tcpdump port 3000

監聽TCP/UDP

服務器上不同服務分別用了TCP、UDP作為傳輸層，假如只想監聽TCP的數據包

tcpdump tcp

來源主機+端口+TCP

監聽來自主機123.207.116.169在端口22上的TCP數據包

tcpdump tcp port 22 and src host 123.207.116.169

監聽特定主機之間的通信

tcpdump ip host 210.27.48.1 and 210.27.48.2

210.27.48.1除了和210.27.48.2之外的主機之間的通信

tcpdump ip host 210.27.48.1 and ! 210.27.48.2

稍微詳細點的例子

tcpdump tcp -i eth2 -t -s 0 -c 100 and dst port ! 22 and src net 192.168.1.0/24 -w ./target.cap

       (1)tcp: ip icmp arp rarp 和 tcp、udp、icmp這些選項等都要放到第一個參數的位置，用來過濾數據報的類型

       (2)-i eth2 : 只抓經過接口eth2的包

       (3)-t : 不顯示時間戳

       (4)-s 0 : 抓取數據包時默認抓取長度為68字節。加上-S 0 后可以抓到完整的數據包

       (5)-c 100 : 只抓取100個數據包

       (6)dst port ! 22 : 不抓取目標端口是22的數據包

       (7)src net 192.168.1.0/24 : 數據包的源網絡地址為192.168.1.0/24

       (8)-w ./target.cap : 保存成cap文件，方便用ethereal(即wireshark)分析

抓http包

TODO

限制抓包的數量

如下，抓到1000個包后，自動退出

tcpdump -c 1000

保存到本地

備注：tcpdump默認會將輸出寫到緩沖區，只有緩沖區內容達到一定的大小，或者tcpdump退出時，才會將輸出寫到本地磁盤

tcpdump -n -vvv -c 1000 -w /tmp/tcpdump_save.cap

也可以加上-U強制立即寫到本地磁盤（一般不建議，性能相對較差）

實戰例子

先看下面一個比較常見的部署方式，在服務器上部署了nodejs server，監聽3000端口。nginx反向代理監聽80端口，并將請求轉發給nodejs server（127.0.0.1:3000）。

瀏覽器 -> nginx反向代理 -> nodejs server

問題：假設用戶(183.14.132.117)訪問瀏覽器，發現請求沒有返回，該怎么排查呢？

步驟一：查看請求是否到達nodejs server -> 可通過日志查看。

步驟二：查看nginx是否將請求轉發給nodejs server。

tcpdump port 8383

這時你會發現沒有任何輸出，即使nodejs server已經收到了請求。因為nginx轉發到的地址是127.0.0.1，用的不是默認的interface，此時需要顯示指定interface

tcpdump port 8383 -i lo

備注：配置nginx，讓nginx帶上請求側的host，不然nodejs server無法獲取 src host，也就是說，下面的監聽是無效的，因為此時對于nodejs server來說，src host 都是 127.0.0.1

tcpdump port 8383 -i lo and src host 183.14.132.117

步驟三：查看請求是否達到服務器

tcpdump -n tcp port 8383 -i lo and src host 183.14.132.117

關于“Linux中如何利用tcpdump抓包”這篇文章就分享到這里了，希望以上內容可以對大家有一定的幫助，使各位可以學到更多知識，如果覺得文章不錯，請把它分享出去讓更多的人看到。