一份快速实用的 tcpdump 命令参考手册

对于 tcpdump 的使用，大部分管理员会分红两类。有一类管理员，他们熟知  tcpdump 和其中的全部标记；另外一类管理员，他们仅了解基本的使用方法，剩下事情都要借助参考手册才能完成。出现这种状况的缘由在于， tcpdump 是一个至关高级的命令，使用的时候须要对网络的工做机制有至关深刻的了解。

在今天的文章中，我想提供一个快速但至关实用的 tcpdump 参考。我会谈到基本的和一些高级的使用方法。我敢确定我会忽略一些至关酷的命令，欢迎你补充在评论部分。

在咱们深刻了解之前，最重要的是了解  tcpdump 是用来作什么的。 tcpdump 命令用来保存和记录网络流量。你能够用它来观察网络上发生了什么，并可用来解决各类各样的问题，包括和网络通讯无关的问题。除了网络问题，我常常用 tcpdump 解决应用程序的问题。若是你发现两个应用程序之间没法很好工做，能够用  tcpdump  观察出了什么问题。 tcpdump 能够用来抓取和读取数据包，特别是当通讯没有被加密的时候。

基础知识

了解 tcpdump ，首先要知道 tcpdump中使用的标记（flag）。在这个章节中，我会涵盖到不少基本的标记，这些标记在不少场合下会被用到。

1.不转换主机名、端口号等

tcpdump -n

一般状况下， tcpdump  会尝试查找和转换主机名和端口号。

# tcpdump
tcpdump: verbose output suppressed, use - v or -vv for full protocol decode
listening on eth0, link- type EN10MB (Ethernet), capture size 65535 bytes
16:15:05.051896 IP blog. ssh > 10.0.3.1.32855: Flags [P.], seq 2546456553:2546456749, ack 1824683693, win 355, options [nop,nop,TS val 620879437 ecr 620879348], length 196

你能够经过 -n 标记关闭这个功能。我我的老是使用这个标记，由于我喜欢使用 IP 地址而不是主机名，主机名和端口号的转换常常会带来困扰。

可是，知道利用  tcpdump  转换或者不转换的功能仍是至关有用的，特别是有些时候，知道源流量（source traffic）来自哪一个服务器是至关重要的。

2.增长详细信息

tcpdump -v

增长一个简单 -v 标记，输出会包含更多信息，例如一个 IP 包的生存时间(ttl, time to live)、长度和其余的选项。
tcpdump  的详细信息有三个等级，你能够经过在命令行增长 v 标记的个数来获取更多的信息。一般我在使用 tcpmdump 的时候，
老是使用最高等级的详细信息，由于我但愿看到全部信息，以避免后面会用到。

3.指定网络接口

tcpdump -i eth0

一般状况下，若是不指定网络接口， tcpdump  在运行时会选择编号最低的网络接口，通常状况下是 eth0，不过因系统不一样可能会有所差别。
你能够用 -i 标记来指定网络接口。在大多数 Linux 系统上，any 这一特定的网络接口名用来让  tcpdump  监听全部的接口。
我发现这在排查服务器（拥有多个网络接口）的问题特别有用，尤为是牵扯到路由的时候。

4.写入文件

tcpdump -w /path /to/file
tcpdump  运行结果会输出在屏幕上。

但不少时候，你但愿把  tcpdump  的输出结果保存在文件中，最简单的方法就是利用 -w 标记。若是你后续还会检查这些网络数据，这样作就特别有用。将这些数据存成一个文件的好处，就是你能够屡次读取这个保存下来的文件，而且能够在这个网络流量的快照上使用其它标记或者过滤器（咱们后面会讨论到）。

一般这些数据被缓存而不会被写入文件，直到你用 CTRL+C 结束 tcpdump 命令的时候。

5.读取文件

tcpdump -r /path/to/file

一旦你将输出存成文件，就必然须要读取这个文件。要作到这点，你只须要在 -r 标记后指定这个文件的存放路径。

一个小提醒，若是你熟悉 wireshark 这类网络诊断工具，也能够利用它们来读取  tcpdump  保存的文件。

6.指定抓包大小

tcpdump -s 100
较新版本的  tcpdump  一般能够截获 65535 字节，但某些状况下你不须要截获默认大小的数据包。运行  tcpdump  时，
你能够经过 -s 标记来指定快照长度。

7.指定抓包数量

tcpdump -c 10

tcpdump  会一直运行，直至你用 CTRL+C 让它退出。
你也能够经过 -c 标记后面加上抓包的数量，让  tcpdump  在抓到必定数量的数据包后中止操做。当你不但愿看到  tcpdump  的输出大量出如今屏幕上，以致于你没法阅读的时候，就会但愿使用这个标记。固然，一般更好的方法是借助过滤器来截获特定的流量。

8.基础知识汇总

tcpdump -nvvv -i  any   -s 100 -c 100
你能够将以上这些基础的标记组合起来使用，来让  tcpdump  提供你所须要的信息。

=======================================================================================

过滤器

介绍完基础的标记后，咱们该介绍过滤器了。 tcpdump  能够经过各式各样的表达式，来过滤所截取或者输出的数据。我在这篇文章里会给出一些简单的例子，以便让大家了解语法规则。大家能够查询  tcpdump  帮助中的 pcap-filter 章节，了解更为详细的信息。

9.查找特定主机的流量

tcpdump -nvvv -i any -c 3 host 10.3.3.1

运行上述命令， tcpdump  会像前面同样把结果输出到屏幕上，不过只会显示源 IP 或者目的 IP 地址是 10.0.3.1 的数据包。经过增长主机 10.0.3.1 参数，咱们可让  tcpdump  过滤掉源和目的地址不是 10.0.3.1 的数据包。

10.只显示源地址为特定主机的流量

tcpdump -nvvv -i any -c 3 src host 10.0.3.1
前面的例子显示了源和目的地址是 10.0.3.1 的流量，而上面的命令只显示数据包源地址是 10.0.3.1 的流量。这是经过在 host 前面增长 src 参数来实现的。这个额外的过滤器告诉  tcpdump  查找特定的源地址。 反过来经过 dst 过滤器，能够指定目的地址。

11.过滤源和目的端口

tcpdump -nvvv -i any -c 3 port 22 and port 60738

经过相似 and 操做符，你能够在  tcpdump  上使用更为复杂的过滤器描述。这个就相似 if 语句，你就这么想吧。这个例子中，咱们使用 and 操做符告诉  tcpdump  只输出端口号是 22 和 60738 的数据包。这点在分析网络问题的时候颇有用，由于能够经过这个方法来关注某一个特定会话（session）的数据包。

你能够用两种方式来表示 and 操做符，and 或者 && 均可以。我我的倾向于两个都使用，特别要记住在使用 && 的时候，要用单引号或者双引号包住表达式。在 BASH 中，你可使用 && 运行一个命令，该命令成功后再执行后面的命令 。一般，最好将表达式用引号包起来，这样会避免不预期的结果，特别当过滤器中有一些特殊字符的时候。

12.查找两个端口号的流量

tcpdump -nvvv -i any -c 20 'port 80 or port 443'

你能够用 or 或者 || 操做符来过滤结果。在这个例子中，咱们使用 or 操做符去截获发送和接收端口为 80 或 443 的数据流。这在 Web 服务器上特别有用，由于服务器一般有两个开放的端口，端口号 80 表示 http 链接，443 表示 https。

13.查找两个特定端口和来自特定主机的数据流

tcpdump -nvvv -i any -c 20 '(prot 80 or port 443) and host 10.0.3.169'

前面的例子用来排查多端口的协议问题，是很是有效的。若是 Web 服务器的数据流量至关大， tcpdump  的输出可能有点混乱。咱们能够经过增长 host 参数进一步限定输出。在这种状况下，咱们经过把 or 表达式放在括号中来保持 or 描述。

在一个过滤器中，你能够屡次使用括号。在下面的例子中，下面命令能够限定截获知足以下条件的数据包：发送或接收端口号为 80 或 443，主机来源于 10.0.3.169 或者 10.0.3.1，且目的地址是 10.0.3.246。

================================================================================================

理解输出结果

打开tcpdump的全部选项去截获网络流量是至关困难的，但一旦你拿到这些数据你就要对它进行解读。在这个章节，咱们将涉及如何判断源/目的 IP 地址，源/目的端口号，以及 TCP 协议类型的数据包。固然这些是至关基础的，你从  tcpdump  里面获取的信息也远不止这些。不过这篇文章主要是粗略的介绍，咱们会关注在这些基础知识上。我建议大家能够经过帮助页获取更为详细的信息。

14.判断源和目的地址

判断源和目的地址和端口号至关简单。

从上面的输出，咱们能够看到源 IP 地址是 10.0.3.246，源端口号是 56894， 目的 IP 地址是 192.168.0.92，端口号是 22。一旦你理解  tcpdump  格式后，这些信息很容易判断。若是你尚未猜到格式，你能够按照 src-ip.src-port > dest-ip.dest-port: Flags[S] 格式来分析。源地址位于 > 前面，后面则是目的地址。你能够把 > 想象成一个指向目的地址的箭头符号。

15.判断数据包类型

10.0.3.246.56894 > 192.168.0.92.22: Flags [S], cksum 0xcf28 (incorrect -> 0x0388), seq 682725222, win 29200, options [mss 1460,sackOK,TS val 619989005 ecr 0,nop,wscale 7], length 0

从上面的例子，咱们能够判断这个数据包是一个 SYN 数据包。咱们是经过  tcpdump  输出中的 [S] 标记字段得出这个结论，不一样类型的数据包有不一样类型的标记。不须要深刻了解 TCP 协议中的数据包类型，你就能够经过下面的速查表来加以判断。

• [S] – SYN (开始链接)
• [.] – 没有标记
• [P] – PSH (数据推送)
• [F] – FIN (结束链接)
• [R] – RST (重启链接)

在这个版本的  tcpdump  输出中，[S.] 标记表明这个数据包是 SYN-ACK 数据包。

16.很差的例子

15:15:43.323412 IP (tos 0x0, ttl 64, id 51051, offset 0, flags [DF], proto TCP (6), length 60)

     10.0.3.246.56894 > 192.168.0.92.22: Flags [S], cksum 0xcf28 (incorrect -> 0x0388), seq 682725222, win 29200, options [mss 1460,sackOK,TS val 619989005 ecr 0,nop,wscale 7], length 0

15:15:44.321444 IP (tos 0x0, ttl 64, id 51052, offset 0, flags [DF], proto TCP (6), length 60)

     10.0.3.246.56894 > 192.168.0.92.22: Flags [S], cksum 0xcf28 (incorrect -> 0x028e), seq 682725222, win 29200, options [mss 1460,sackOK,TS val 619989255 ecr 0,nop,wscale 7], length 0

15:15:46.321610 IP (tos 0x0, ttl 64, id 51053, offset 0, flags [DF], proto TCP (6), length 60)

     10.0.3.246.56894 > 192.168.0.92.22: Flags [S], cksum 0xcf28 (incorrect -> 0x009a), seq 682725222, win 29200, options [mss 1460,sackOK,TS val 619989755 ecr 0,nop,wscale 7], length 0

上面显示了一个很差的通讯例子，在这个例子中“很差”，表明通讯没有创建起来。咱们能够看到 10.0.3.246 发出一个 SYN 数据包给 主机 192.168.0.92，可是主机并无应答。

17.好的例子

15:18:25.716453 IP (tos 0x10, ttl 64, id 53344, offset 0, flags [DF], proto TCP (6), length 60)

     10.0.3.246.34908 > 192.168.0.110.22: Flags [S], cksum 0xcf3a (incorrect -> 0xc838), seq 1943877315, win 29200, options [mss 1460,sackOK,TS val 620029603 ecr 0,nop,wscale 7], length 0

15:18:25.716777 IP (tos 0x0, ttl 63, id 0, offset 0, flags [DF], proto TCP (6), length 60)

     192.168.0.110.22 > 10.0.3.246.34908: Flags [S.], cksum 0x594a (correct), seq 4001145915, ack 1943877316, win 5792, options [mss 1460,sackOK,TS val 18495104 ecr 620029603,nop,wscale 2], length 0

15:18:25.716899 IP (tos 0x10, ttl 64, id 53345, offset 0, flags [DF], proto TCP (6), length 52)

     10.0.3.246.34908 > 192.168.0.110.22: Flags [.], cksum 0xcf32 (incorrect -> 0x9dcc), ack 1, win 229, options [nop,nop,TS val 620029603 ecr 18495104], length 0

好的例子应该向上面这样，咱们看到典型的 TCP 3次握手。第一数据包是 SYN 包，从主机 10.0.3.246 发送给 主机192.168.0.110，第二个包是 SYN-ACK 包，主机192.168.0.110 回应 SYN 包。最后一个包是一个 ACK 或者 SYN – ACK – ACK 包，是主机 10.0.3.246 回应收到了 SYN – ACK 包。从上面看到一个 TCP/IP 链接成功创建。

=======================================================================

数据包检查

18.用十六进制和 ASCII 码打印数据包

tcpdump -nvvv -i any -c 1 -XX 'port 80 and host 10.0.3.1'

排查应用程序网络问题的一般作法，就是用  tcpdump  的 -XX 标记打印出 16 进制和 ASCII 码格式的数据包。这是一个至关有用的命令，它可让你看到源地址，目的地址，数据包类型以及数据包自己。但我不是这个命令输出的粉丝，我认为它太难读了。

19.只打印 ASCII 码格式的数据包

tcpdump -nvvv -i any -c 1 -A 'port 80 and host 10.0.3.1'

我倾向于只打印 ASCII 格式数据，这能够帮助我快速定位数据包中发送了什么，哪些是正确的，哪些是错误的。你能够经过 -A 标记来实现这一点。

tcpdump -nvvv -i any -c 1 -A 'port 80 and host 10.0.3.1'

tcpdump: listening on any, link- type LINUX_SLL (Linux cooked), capture size 65535 bytes

19:59:52.011337 IP (tos 0x0, ttl 64, id 53757, offset 0, flags [DF], proto TCP (6), length 406)

     10.0.3.1.46172 > 10.0.3.246.80: Flags [P.], cksum 0x1c7f (incorrect -> 0xead1), seq 1552520173:1552520527, ack 428165415, win 237, options [nop,nop,TS val 624251177 ecr 624247749], length 354

E.....@.@.Ln

...

....\.P\.....I'...........

%5Q)%5C.GET /newpage HTTP /1 .1

Host: 10.0.3.246

Connection: keep-alive

Accept: text /html ,application /xhtml +xml,application /xml ;q=0.9,image /webp ,*/*;q=0.8

User-Agent: Mozilla /5 .0 (Macintosh; Intel Mac OS X 10_9_5) AppleWebKit /537 .36 (KHTML, like Gecko) Chrome /38 .0.2125.101 Safari /537 .36

Accept-Encoding: gzip ,deflate,sdch

Accept-Language: en-US,en;q=0.8

从上面的输出，你能够看到咱们成功获取了一个 http 的 GET 请求包。若是网络通讯没有被加密，用人类可阅读的格式打出包中数据，对于解决应用程序的问题是颇有帮助。若是你排查一个网络通讯被加密的问题，打印包中数据就不是颇有用。不过若是你有证书的话，你仍是可使用 ssldump 或者 wireshark。

===================================================================

非 TCP 数据流

虽然这篇文章主要采用 TCP 传输来说解  tcpdump ，可是  tcpdump  绝对不是只能抓 TCP 数据包。它还能够用来获取其余类型的数据包，例如 ICMP、 UDP 和 ARP 包。下面是一些简单的例子，说明  tcpdump  能够截获非 TCP 数据包。

20.ICMP 数据包

tcpdump -nvvv -i any -c 2 icmp

tcpdump: listening on any, link- type LINUX_SLL (Linux cooked), capture size 65535 bytes

20:11:24.627824 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto ICMP (1), length 84)

     10.0.3.169 > 10.0.3.246: ICMP echo request, id 15683, seq 1, length 64

20:11:24.627926 IP (tos 0x0, ttl 64, id 31312, offset 0, flags [none], proto ICMP (1), length 84)

     10.0.3.246 > 10.0.3.169: ICMP echo reply, id 15683, seq 1, length 64



21.UDP 数据包

tcpdump -nvvv -i any -c 2 udp

tcpdump: listening on any, link- type LINUX_SLL (Linux cooked), capture size 65535 bytes

20:12:41.726355 IP (tos 0xc0, ttl 64, id 0, offset 0, flags [DF], proto UDP (17), length 76)

     10.0.3.246.123 > 198.55.111.50.123: [bad udp cksum 0x43a9 -> 0x7043!] NTPv4, length 48

         Client, Leap indicator: clock unsynchronized (192), Stratum 2 (secondary reference), poll 6 (64s), precision -22

         Root Delay: 0.085678, Root dispersion: 57.141830, Reference-ID: 199.102.46.75

           Reference Timestamp:  3622133515.811991035 (2014 /10/12 20:11:55)

           Originator Timestamp: 3622133553.828614115 (2014 /10/12 20:12:33)

           Receive Timestamp:    3622133496.748308420 (2014 /10/12 20:11:36)

           Transmit Timestamp:   3622133561.726278364 (2014 /10/12 20:12:41)

             Originator - Receive Timestamp:  -57.080305658

             Originator - Transmit Timestamp: +7.897664248

20:12:41.748948 IP (tos 0x0, ttl 54, id 9285, offset 0, flags [none], proto UDP (17), length 76)

     198.55.111.50.123 > 10.0.3.246.123: [udp sum ok] NTPv4, length 48

         Server, Leap indicator:  (0), Stratum 3 (secondary reference), poll 6 (64s), precision -20

         Root Delay: 0.054077, Root dispersion: 0.058944, Reference-ID: 216.229.0.50

           Reference Timestamp:  3622132887.136984840 (2014 /10/12 20:01:27)

           Originator Timestamp: 3622133561.726278364 (2014 /10/12 20:12:41)

           Receive Timestamp:    3622133618.830113530 (2014 /10/12 20:13:38)

           Transmit Timestamp:   3622133618.830129086 (2014 /10/12 20:13:38)

             Originator - Receive Timestamp:  +57.103835195

             Originator - Transmit Timestamp: +57.103850722