Linux下抓包工具tcpdump詳解

環境：VMware-Workstation-12-Pro，Windows-10，CentOS-6.9-x86_64，Xshell5

基本介紹

tcpdump是Linux自帶的抓包工具，可以詳細看到計算機通訊中詳細報文內容，如果讀者熟悉另一款強大的抓包工具wireshark，tcpdump相當於是wireshark的命令列版本。dump這個單詞有垃圾堆，倒垃圾的意思，在計算機英語中的含義是轉存。

tcpdump官網：http://www.tcpdump.org/
This is the official web site of tcpdump, a powerful command-line packet analyzer;

檢視本機tcpdump的版本]

[root@linuxidc html]# tcpdump --version 
tcpdump version 4.1-PRE-CVS_2017_03_21 

tcpdump的最新版本
Version: 4.9.2
Release Date: September 3, 2017

官方文件：http://www.tcpdump.org/manpages/tcpdump.1.html，此文件無疑是全網最詳細，最權威
的教學，很多大牛的部落格都有借鑑此文的內容。

這是什麼鬼

TCPDUMP(8)                                                          TCPDUMP(8) 

NAME 
      tcpdump - dump traffic on a network 

SYNOPSIS 
      tcpdump [ -AdDefIJKlLnNOpqRStuUvxX ] [ -B buffer_size ] [ -c count ] 
              [ -C file_size ] [ -G rotate_seconds ] [ -F file ] 
              [ -i interface ] [ -j tstamp_type ] [ -m module ] [ -M secret ] 
              [ -Q|-P in|out|inout ] 
              [ -r file ] [ -s snaplen ] [ -T type ] [ -w file ] 
              [ -W filecount ] 
              [ -E spi@ipaddr algo:secret,...  ] 
              [ -y datalinktype ] [ -z postrotate-command ] [ -Z user ] 
              [ expression ] 

上面是tcpdump，man page裡面的內容，oh my god！這麼多引數，本文當然不可能逐一介紹上面的內容，
我們先直接通過一些簡單的案例看看效果，然後給出一些常見引數的用法。

基礎案例

觀察DNS解析情況

我們知道，Linux系統要想正常存取網際網路，需要正確設定DNS解析，現在我們已經設定了阿里雲的DNS
223.6.6.6，我們想看一下DNS解析是否正常，就可以使用tcpdump來抓取DNS包，準備好兩個xshell
視窗，按照如下方式操作

步驟1 tcpdump -n -i any port 53

儘量在root使用者下使用tcpdump命令，-n表示不要把IP地址解析成域名，-i表示抓取哪塊網絡卡的通訊
封包，any表示任意一塊，port是指定要抓取封包的埠，DNS服務工作在53埠上，執行完畢之
後，我們切換到第2個視窗，進行步驟2

步驟2 ping -c3 baidu.com
-c3表示和ping次停下，這時候我們的計算機和百度產生的通訊，視窗1的tcpdump就會監聽到我們的通訊
資料，也就是所謂的抓包，切換到視窗1，看到的資料大致如下

在上圖中我們可看到本地192.168.56.11，埠42711進程向阿里雲DNS伺服器223.6.6.6，請求告知
baidu.com的IP地址是什麼？阿里雲的DNS伺服器成功給了我們答復，由此可以說明，我們的DNS工作
正常。

如果抓取的DNS封包，看起來向下面這樣：

從上圖可以看出，我們一共發起了三次DNS查詢請求，伺服器才最終給我們返回了IP地址，這顯然是不太正常的，
由此我們可以判斷，這次網路卡慢的原因，應該出在DNS解析上。

以上就是使用tcpdump抓包來簡單判斷網路通訊狀況。

抓取一個TCP包

首先我們知道TCP三次握手分別是：ACK，SYN-ACK，ACK。下面我們就在Linux中簡單搭建nginx伺服器，
然後使用tcpdump抓取tcp包看下。

安裝nginx服務並啟動

yum install nginx -y 
/etc/init.d/nginx start 

然後在windows瀏覽器中輸入自己的IP地址，將會看到如下介面

在xshell中執行tcpdump -n -i eth0 port 80，eth0是我當前網絡卡的名稱，然後在瀏覽器中重新整理一下，
可以看到抓取到了如下內容

可以看到，我們熟悉的ACK，SYN-ACK，ACK三次握手的資訊都出現了，說明我們TCP連線成功建立了。

不要太過糾結於抓包細節，事實上tcp協定包含相當多的內容，無法在此展開

tcpdump中最常見的幾個引數

-i 指定要抓取封包的網絡卡名稱

tcpdump -i eth0 # 抓取eth0網絡卡的封包 

-c 指定抓取包的個數

tcpdump -i eth0 -c 10 # 只抓取10個包 

-w 把抓取到的資料存放到檔案中供以後分析

# tcpdump -i eth0 -c 10 -w my-packets.pcap 
# file my-packets.pcap 
my-packets.pcap: tcpdump capture file .... 

可以看到，我們儲存的my-packets.pcap是一種特殊檔案，直接使用vim是無法檢視的，可以把
該檔案拿到windows下，使用wireshark檢視，效果如下

-n 不解析ip，預設會將ip解析成域名
指定過濾埠(port)和主機名(host)

tcpdump -n -i eth0 port 80 
tcpdump -n -i eth0 host baidu.com 
tcpdump -n -i eth0 host baidu.com and port 80 

Linux公社的RSS地址：https://www.linuxidc.com/rssFeed.aspx

本文永久更新連結地址：https://www.linuxidc.com/Linux/2018-08/153826.htm