TCPDUMP(tcp监控工具)

TCPDUMP这工具在Linux里确实是个神器，特别是咱们搞网络运维的，离了它真不行。它就像个命令行版的Wireshark，虽然没图形界面看着直观，但胜在轻量、强大，能直接在服务器上抓取流经网卡的数据包。我个人觉得，对于排查网络故障或者分析流量，这玩意儿比图形工具更直接，毕竟在服务器上直接看原始数据，心里更有底。 安装也简单，用yum一行命令就能搞定。它的参数虽然多，但核心就是过滤，比如指定网卡、端口或者协议。我最喜欢用它来抓特定端口的流量，比如80端口，看看网页请求到底是怎么走的。输出的那些IP、端口号和Flags标识符，刚开始看可能有点懵，但熟悉了[S]、[P]、[F]这些状态后，就能一眼看出连接的建立、数据传输和断开过程，特别有成就感。 有时候命令行看累了，还能把抓到的数据存成.cap文件，导出来用Wireshark慢慢分析，这招特别实用。比如抓个ICMP包，看看ping的过程，或者用-n参数直接显示IP不解析域名，速度飞快。更高级点，还能用逻辑条件过滤，比如只抓发往特定IP的包，精准定位问题。 说到底，抓包是网络技术的必修课，TCPDUMP就是那把打开网络黑盒的钥匙。用熟了，你就能像侦探一样，从海量数据里揪出异常，那种掌控感真的爽。它不只是个工具，更是咱们理解网络底层交互的窗口，用好了，处理线上问题绝对事半功倍。

TCPDUMP是一款知名的linux抓包工具。Linux作为网络服务器，特别是作为路由器和网关时，数据的采集和分析是不可少的。TcpDump是Linux中强大的网络数据采集分析工具之一，一言概之，dump the traffic on a network，是一款根据使用者的定义对网络上的数据包进行截获的包分析工具。作为互联网上经典的的系统管理员必备工具，tcpdump以其强大的功能，灵活的截取策略，成为每个高级的系统管理员分析网络，排查问题等所必备的工具之一。

有的朋友可能不太理解，其实说白了，tcpdump就类似我们经常在window客户端使用wireshark，区别就是一个是图形界面，一个是命令形式。小编这里为大家提供的TCPDUMP抓包工具，可支持Linux和Unix系统，后问附有详细的介绍，有需求的用户还请下载支持。

安装tcpdump

如果你的系统默认没有安装tcpdump，那么你可以使用如下命令，进行安装：

yum install tcpdump -y

tcpdump参数解析

为了方便大家直观理解，小编在网上截取了一段参数图，如下，可以帮助我们更好的理解tcpdump语句的含义。

option：可选参数，可以指定相关参数，输出特定信息。

proto：类过滤器，指定某种协议的数据包。如tcp。

在开始玩tcpdump时，读者应该有所了解报文结构，这样才能更好读懂tcpdump输出的信息。

tcpdump命令实例

一、抓取特定网卡 80端口的链接情况：

1、我们先用ifconfig查看网卡名称：

2、输入下来命令后，打开百度网页：

可以捕获到如下信息，截取一部分：

关于上面输出的内容，格式注释如下：

第二列：网络协议 IP

第三列：发送方的ip地址+端口号，其中 221.5.75.35是 ip，而 http是端口号，即80

第四列：箭头 >， 表示数据流向

第五列：接收方的ip地址+端口号，其中 localhost.localdomain.是 ip，本机，而 42884是端口号。

第六列：冒号

第七列：数据包内容，包括Flags 标识符，seq 号，ack 号，win 窗口，数据长度 length，其中 [P.] 表示 PUSH 标志位为 1。

其中Flags 标识符有以下几种：

[S] : SYN（开始连接）

[P] : PSH（推送数据）

[F] : FIN （结束连接）

[R] : RST（重置连接）

[.] : 没有 Flag，由于除了 SYN 包外所有的数据包都有ACK，所以一般这个标志也可表示 ACK

二、如果你觉得命令行不习惯，还是喜欢用wireshark来查看数据包，那么你还可以使用tcpdump来保存.cap文件，然后导出cap文件，就可以用wireshark软件来打开查看了。

tcpdump-i ens33 port80-w ./20210616.cap（左右滑动一下）

注释：

-w：参数指定将监听到的数据包写入文件中保存，file.cap就是该文件。

./：保存的路径。

通过ls，可以看到该文件已生成：

输入linux服务器ip地址（即我虚拟机的ip地址）、账号、密码

下载cap文件：

下载到window物理机上：

双击，我们就可以使用wireshark来查看数据包了

三、基于协议进行过滤，比如就只抓起icmp报文。

tcpdump icmp

输完上述命令后，我打开网页，又进行了ping测试，先ping8.8.8.8，然后中止了，再ping 114.114.114.114.

来看看，命令输出的结果：

23:05:28.009283 IP http://public1.114dns.com > localhost.localdomain: ICMP echo reply, id 24125, seq 3, length 64

四、-n参数

上面我们看到了，ping 114.114.114.114，tcpdump输出显示是域名形式，如果我们希望显示ip地址，可以加一个参数：-n （即不把ip转化成域名，直接显示 ip，避免执行 DNS lookups 的过程，速度会快很多）

tcpdump icmp -n

五、捕获特定的目的IP地址的数据包。

我在linux服务器上进行ping多个地址（114.114.114.114、223.5.5.5、223.6.6.6），然后我tcpdump只需114.114.114.114的。

tcpdumpicmp-nanddsthost114.114.114.114（左右滑动一下）

and：后面就是加了限制条件，只捕获指定的目的ip地址为114.114.114.114的报文。

总结

我们都知道，想学会网络技术，人人都绕不开“抓包”这项技能。只有把设备之间交互的信息读透了，搞懂它，那么，你在网络世界里，就能游刃有余，如鱼得水。

Tcpdump是著名的sniffer，是一个被很多UNIX高手认为是一个专业的网络管理工具，记得以前TsutomuShimomura，就是使用他自己修改过的TCPDUMP版本来记录了KEVINMITNICK攻击他系统的记录，后来就配合FBI抓住了KEVINMITNICK。你能够利用这个工具检查访问你服务器中的文件包信息，监测你网络中的问题所在。