网络协议和Netty（8）：常用网络抓包工具TCPDUMP的使用

本文主要是介绍网络协议和Netty（8）：常用网络抓包工具TCPDUMP的使用，希望对大家解决编程问题提供一定的参考价值，需要的开发者们随着小编来一起学习吧！

前言：Wireshark虽然好用，但是一般生成环境是Linux环境，而TCPDUMP作为Linux网络服务器，便成为了我们抓包的首选。通常我们在生产环境会用TCPDUMP抓包，导出数据后，用Wireshark导入分析。

简介：

tcpdump 可以抓所有层的数据，功能十分强大，tcpdump Linux 作为网络服务器，特别是作为路由器和网关时，数据的采集和分析是不可少的。TcpDump 是 Linux 中强大的网络数据采集分析工具之一。用简单的话来定义 tcpdump，就是:dump the traffic on a network，根据使用者的定义对网络上的数据包进行截获的包分析工具。作为互联网上经典的的系统管理员或者运维人员必备工具，tcpdump 以其强大的功能，灵活的截取第略，成为每个高级的系统管理员/运维人员分析网格，排查问题等所必备的工具之一。

注意 tcpdump 必须以超级管理员的身份登录系统才能使用。

TCPDUMP参数

tcp

各个参数的意义如下：
A：以 ascii 编码打印每个报文（不包括链路的头）。
a：将网络地址和广播地址转变成名字。
c：抓取指定数目的包。
C：用于判断用 -w 选项将报文写入的文件的大小是否超过这个值，如果超过了就新建
文件（文件名后缀是 1、2、3 依次增加）；
d：将匹配信息包的代码以人们能够理解的汇编格式给出；
dd：将匹配信息包的代码以 c 语言程序段的格式给出；
ddd：将匹配信息包的代码以十进制的形式给出；
D：列出当前主机的所有网卡编号和名称，可以用于选项 -i；
e：在输出行打印出数据链路层的头部信息；
f：将外部的 Internet 地址以数字的形式打印出来；
F<表达文件>：从指定的文件中读取表达式,忽略其它的表达式；
i<网络界面>：监听主机的该网卡上的数据流，如果没有指定，就会使用最小网卡编号
的网卡（在选项-D 可知道，但是不包括环路接口），linux 2.2 内核及之后的版本支持 any 网
卡，用于指代任意网卡；
l：如果没有使用 -w 选项，就可以将报文打印到标准输出终端（此时这是默认）；
n：显示 ip，而不是主机名；
nn：显示 port，而不是服务名；
N：不列出域名；
O：不将数据包编码最佳化；
p：不让网络界面进入混杂模式；
q：快速输出，仅列出少数的传输协议信息；
r<数据包文件>：从指定的文件中读取包(这些包一般通过-w 选项产生)；
s<数据包大小>：指定抓包显示一行的宽度，-s0 表示可按包长显示完整的包，经常和-A
一起用，默认截取长度为 60 个字节，但一般 ethernet MTU 都是 1500 字节。所以，要抓取
大于 60 字节的包时，使用默认参数就会导致包数据丢失；
S：用绝对而非相对数值列出 TCP 关联数；
t：在输出的每一行不打印时间戳；
tt：在输出的每一行显示未经格式化的时间戳记；
T<数据包类型>：将监听到的包直接解释为指定的类型的报文，常见的类型有 rpc （远
程过程调用）和 snmp（简单网络管理协议）；
v：输出一个稍微详细的信息，例如在 ip 包中可以包括 ttl 和服务类型的信息；
vv：输出详细的报文信息；
x/-xx/-X/-XX：以十六进制显示包内容，几个选项只有细微的差别，详见 man 手册；
w<数据包文件>：直接将包写入文件中，并不分析和打印出来；
expression：用于筛选的逻辑表达式。

正则表达式

在 tcpdump 中，tcpdump 利用正则表达式作为过滤报文的条件，如果一个报文满足表达式的条件，则这个报文将会被捕获。如果没有给出任何条件，则网络上所有的信息包将会被截获。

在表达式中一般如下几种类型的关键字：

第一种是关于类型的关键字，主要包括 host，port, 例如 host 210.27.48.2，指明 210.27.48.2 是一台主机，port 23 指明端口号是 23。如果没有指定类型，缺省的类型是 host。

第二种是确定传输方向的关键字，主要包括 src , dst 这些关键字指明了传输的方向。举例说明，src 210.27.48.2 ,指明 ip 包中源地址是 210.27.48.2 , dst net 202.0.0.0 指明目的网络地址是 202.0.0.0 。如果没有指明方向关键字，则缺省是 src or dst 关键字。

第三种是协议的关键字，主要包括 fddi,ip ,arp,rarp,tcp,udp 等类型。如果没有指定任何协议，则 tcpdump 将会监听所有协议的信息包。

表达式还可以通过
! or not
&& or and
|| or or
进行连接
比如，
tcpdump -i eth0 tcp port 22 -w ./ssh.cap
捕获本机网络设备eth0上tcp协议，端口22的数据包，并写入当前目录下的ssh.cap
文件。