今天要給大家介紹的一個 Unix 下的一個 網路資料採集分析工具，也就是我們常說的抓包工具。

與它功能類似的工具有 wireshark ，不同的是，wireshark 有圖形化介面，而 tcpdump 則只有命令列。

由於我本人更習慣使用命令列的方式進行抓包，因此今天先跳過 wireshark，直接給大家介紹這個 tcpdump 神器。

這篇文章，我肝了好幾天，藉助於Linux 的 man 幫助命令，我把 tcpdump 的用法全部研究了個遍，才形成了本文，不誇張的說，應該可以算是中文裡把 tcpdump 講得最清楚明白，並且還最全的文章了（至少我從百度、谷歌的情況來看），所以本文值得你收藏分享，就怕你錯過了，就再也找不到像這樣把 tcpdump 講得直白而且特全的文章了。

在講解之前，有兩點需要宣告：

1. 第三節到第六節裡的 tcpdump 命令示例，只為了說明引數的使用，並不一定就能抓到包，如果要精準抓到你所需要的包，需要配合第五節的邏輯邏輯運算子進行組合搭配。
2. 不同 Linux 發行版下、不同版本的 tcpdump 可能有小許差異， 本文是基於 CentOS 7.2 的 4.5.1 版本的tcpdump 進行學習的，若在你的環境中無法使用，請參考 man tcpdump 進行鍼對性學習。

1. tcpdump 核心引數圖解

大家都知道，網路上的流量、資料包，非常的多，因此要想抓到我們所需要的資料包，就需要我們定義一個精準的過濾器，把這些目標資料包，從巨大的資料包網路中抓取出來。

所以學習抓包工具，其實就是學習如何定義過濾器的過程。

而在 tcpdump 的世界裡，過濾器的實現，都是通過一個又一個的引數組合起來，一個引數不夠精準，那就再加一個，直到我們能過濾掉無用的資料包，只留下我們感興趣的資料包。

tcpdump 的引數非常的多，初學者在沒有掌握 tcpdump 時，會對這個命令的眾多引數產生很多的疑惑。

就比如下面這個命令，我們要通過 host 引數指定 host ip 進行過濾

$ tcpdump host 192.168.10.100

主程式 + 引數名+ 引數值 這樣的組合才是我們正常認知裡面命令列該有的樣子。

可 tcpdump 卻不走尋常路，我們居然還可以在 host 前再加一個限定詞，來縮小過濾的範圍？

$ tcpdump src host 192.168.10.100

從字面上理解，確實很容易理解，但是這不符合編寫命令列程式的正常邏輯，導致我們會有所疑慮：

1. 除了 src ，dst，可還有其它可以用的限定詞？

2. src，host 應該如何理解它們，叫引數名？不合適，因為 src 明顯不合適。

如果你在網上看到有關 tcpdump 的部落格、教程，無一不是給你一個引數組合，告訴你這是實現了怎樣的一個過濾器？這樣的教學方式，很容易讓你依賴別人的文章來使用 tcpdump，而不能將 tcpdump 這樣神器消化，達到靈活應用，靈活搭配過濾器的效果。

上面加了 src 本身就顛覆了我們的認知，你可知道在 src 之前還可以加更多的條件，比如 tcp, udp, icmp 等詞，在你之前的基礎上再過濾一層。

$ tcpdump tcp src host 192.168.10.100

這種引數的不確定性，讓大多數人對 tcpdump 的學習始終無法得其精髓。

因此，在學習 tcpdump 之前，我覺得有必要要先讓你知道：tcpdump 的引數是如何組成的？這非常重要。

為此，我畫了一張圖，方便你直觀的理解 tcpdump 的各種引數：

1. option 可選引數：將在後邊一一解釋。
2. proto 類過濾器：根據協議進行過濾，可識別的關鍵詞有： tcp, udp, icmp, ip, ip6, arp, rarp,ether,wlan, fddi, tr, decnet
3. type 類過濾器：可識別的關鍵詞有：host, net, port, portrange，這些詞後邊需要再接引數。
4. direction 類過濾器：根據資料流向進行過濾，可識別的關鍵字有：src, dst，同時你可以使用邏輯運算子進行組合，比如 src or dst

proto、type、direction 這三類過濾器的內容比較簡單，也最常用，因此我將其放在最前面，也就是 第三節：常規過濾規則一起介紹。

而 option 可選的引數非常多，有的甚至也不經常用到，因此我將其放到後面一點，也就是 第四節：可選引數解析

當你看完前面六節，你對 tcpdump 的認識會上了一個臺階，至少能夠滿足你 80% 的使用需求。

你一定會問了，還有 20% 呢？

其實 tcpdump 還有一些過濾關鍵詞，它不符合以上四種過濾規則，可能需要你單獨記憶。關於這部分我會在 第六節：特殊過濾規則 裡進行介紹。

2. 理解 tcpdump 的輸出

2.1 輸出內容結構

tcpdump 輸出的內容雖然多，卻很規律。

這裡以我隨便抓取的一個 tcp 包為例來看一下

21:26:49.013621 IP 172.20.20.1.15605 > 172.20.20.2.5920: Flags [P.], seq 49:97, ack 106048, win 4723, length 48

從上面的輸出來看，可以總結出：

1. 第一列：時分秒毫秒 21:26:49.013621
2. 第二列：網路協議 IP
3. 第三列：傳送方的ip地址+埠號，其中172.20.20.1是 ip，而15605 是埠號
4. 第四列：箭頭 >， 表示資料流向
5. 第五列：接收方的ip地址+埠號，其中 172.20.20.2 是 ip，而5920 是埠號
6. 第六列：冒號
7. 第七列：資料包內容，包括Flags 識別符號，seq 號，ack 號，win 視窗，資料長度 length，其中 [P.] 表示 PUSH 標誌位為 1，更多識別符號見下面

2.2 Flags 識別符號

使用 tcpdump 抓包後，會遇到的 TCP 報文 Flags，有以下幾種：

• [S] : SYN（開始連線）
• [P] : PSH（推送資料）
• [F] : FIN （結束連線）
• [R] : RST（重置連線）
• [.] : 沒有 Flag （意思是除上面四種類型外的其他情況，有可能是 ACK 也有可能是 URG）

3. 常規過濾規則

3.1 基於IP地址過濾：host

使用 host 就可以指定 host ip 進行過濾

$ tcpdump host 192.168.10.100

資料包的 ip 可以再細分為源ip和目標ip兩種

# 根據源ip進行過濾
$ tcpdump -i eth2 src 192.168.10.100

# 根據目標ip進行過濾
$ tcpdump -i eth2 dst 192.168.10.200

3.2 基於網段進行過濾：net

若你的ip範圍是一個網段，可以直接這樣指定

$ tcpdump net 192.168.10.0/24

網段同樣可以再細分為源網段和目標網段

# 根據源網段進行過濾
$ tcpdump src net 192.168

# 根據目標網段進行過濾
$ tcpdump dst net 192.168

3.3 基於埠進行過濾：port

使用 port 就可以指定特定埠進行過濾

$ tcpdump port 8088

埠同樣可以再細分為源埠，目標埠

# 根據源埠進行過濾
$ tcpdump src port 8088

# 根據目標埠進行過濾
$ tcpdump dst port 8088

如果你想要同時指定兩個埠你可以這樣寫

$ tcpdump port 80 or port 8088

但也可以簡寫成這樣

$ tcpdump port 80 or 8088

如果你的想抓取的不再是一兩個埠，而是一個範圍，一個一個指定就非常麻煩了，此時你可以這樣指定一個埠段。

$ tcpdump portrange 8000-8080
$ tcpdump src portrange 8000-8080
$ tcpdump dst portrange 8000-8080

對於一些常見協議的預設埠，我們還可以直接使用協議名，而不用具體的埠號

比如 http == 80，https == 443 等

$ tcpdump tcp port http

3.4 基於協議進行過濾：proto

常見的網路協議有：tcp, udp, icmp, http, ip,ipv6 等

若你只想檢視 icmp 的包，可以直接這樣寫

$ tcpdump icmp

protocol 可選值：ip, ip6, arp, rarp, atalk, aarp, decnet, sca, lat, mopdl, moprc, iso, stp, ipx, or netbeui

3.5 基本IP協議的版本進行過濾

當你想檢視 tcp 的包，你也許會這樣子寫

$ tcpdump tcp

這樣子寫也沒問題，就是不夠精準，為什麼這麼說呢？

ip 根據版本的不同，可以再細分為 IPv4 和 IPv6 兩種，如果你只指定了 tcp，這兩種其實都會包含在內。

那有什麼辦法，能夠將 IPv4 和 IPv6 區分開來呢？

很簡單，如果是 IPv4 的 tcp 包 ，就這樣寫（友情提示：數字 6 表示的是 tcp 在ip報文中的編號。）

$ tcpdump 'ip proto tcp'

# or

$ tcpdump ip proto 6

# or

$ tcpdump 'ip protochain tcp'

# or 

$ tcpdump ip protochain 6

而如果是 IPv6 的 tcp 包 ，就這樣寫

$ tcpdump 'ip6 proto tcp'

# or

$ tcpdump ip6 proto 6

# or

$ tcpdump 'ip6 protochain tcp'

# or 

$ tcpdump ip6 protochain 6

關於上面這幾個命令示例，有兩點需要注意：

1. 跟在 proto 和 protochain 後面的如果是 tcp, udp, icmp ，那麼過濾器需要用引號包含，這是因為 tcp,udp, icmp 是 tcpdump 的關鍵字。
2. 跟在ip 和 ip6 關鍵字後面的 proto 和 protochain 是兩個新面孔，看起來用法類似，它們是否等價，又有什麼區別呢？

關於第二點，網路上沒有找到很具體的答案，我只能通過 man tcpdump 的提示， 給出自己的個人猜測，但不保證正確。

proto 後面跟的 <protocol> 的關鍵詞是固定的，只能是 ip, ip6, arp, rarp, atalk, aarp, decnet, sca, lat, mopdl, moprc, iso, stp, ipx, or netbeui 這裡面的其中一個。

而 protochain 後面跟的 protocol 要求就沒有那麼嚴格，它可以是任意詞，只要 tcpdump 的 IP 報文頭部裡的 protocol 欄位為 <protocol> 就能匹配上。

理論上來講，下面兩種寫法效果是一樣的

$ tcpdump 'ip && tcp'
$ tcpdump 'ip proto tcp'

同樣的，這兩種寫法也是一樣的

$ tcpdump 'ip6 && tcp'
$ tcpdump 'ip6 proto tcp'

4. 可選引數解析

4.1 設定不解析域名提升速度

• -n：不把ip轉化成域名，直接顯示 ip，避免執行 DNS lookups 的過程，速度會快很多
• -nn：不把協議和埠號轉化成名字，速度也會快很多。
• -N：不打印出host 的域名部分.。比如,，如果設定了此選現，tcpdump 將會列印'nic' 而不是 'nic.ddn.mil'.

4.2 過濾結果輸出到檔案

使用 tcpdump 工具抓到包後，往往需要再借助其他的工具進行分析，比如常見的 wireshark 。

而要使用wireshark ，我們得將 tcpdump 抓到的包資料生成到檔案中，最後再使用 wireshark 開啟它即可。

使用 -w 引數後接一個以 .pcap 字尾命令的檔名，就可以將 tcpdump 抓到的資料儲存到檔案中。

$ tcpdump icmp -w icmp.pcap

4.3 從檔案中讀取包資料

使用 -w 是寫入資料到檔案，而使用 -r 是從檔案中讀取資料。

讀取後，我們照樣可以使用上述的過濾器語法進行過濾分析。

$ tcpdump icmp -r all.pcap

4.4 控制詳細內容的輸出

• -v：產生詳細的輸出. 比如包的TTL，id標識，資料包長度，以及IP包的一些選項。同時它還會開啟一些附加的包完整性檢測，比如對IP或ICMP包頭部的校驗和。
• -vv：產生比-v更詳細的輸出. 比如NFS迴應包中的附加域將會被列印, SMB資料包也會被完全解碼。（摘自網路，目前我還未使用過）
• -vvv：產生比-vv更詳細的輸出。比如 telent 時所使用的SB, SE 選項將會被列印, 如果telnet同時使用的是圖形介面，其相應的圖形選項將會以16進位制的方式打印出來（摘自網路，目前我還未使用過）

4.5 控制時間的顯示

• -t ：在每行的輸出中不輸出時間
• -tt：在每行的輸出中會輸出時間戳
• -ttt：輸出每兩行列印的時間間隔(以毫秒為單位)
• -tttt：在每行列印的時間戳之前新增日期的列印（此種選項，輸出的時間最直觀）

4.6 顯示資料包的頭部

• -x：以16進位制的形式列印每個包的頭部資料（但不包括資料鏈路層的頭部）
• -xx：以16進位制的形式列印每個包的頭部資料（包括資料鏈路層的頭部）
• -X：以16進位制和 ASCII碼形式打印出每個包的資料(但不包括連線層的頭部)，這在分析一些新協議的資料包很方便。
• -XX：以16進位制和 ASCII碼形式打印出每個包的資料(包括連線層的頭部)，這在分析一些新協議的資料包很方便。

4.7 過濾指定網絡卡的資料包

• -i：指定要過濾的網絡卡介面，如果要檢視所有網絡卡，可以 -i any

4.8 過濾特定流向的資料包

• -Q： 選擇是入方向還是出方向的資料包，可選項有：in, out, inout，也可以使用 --direction=[direction] 這種寫法

4.9 其他常用的一些引數

• -A：以ASCII碼方式顯示每一個數據包(不顯示鏈路層頭部資訊). 在抓取包含網頁資料的資料包時, 可方便檢視資料

• -l : 基於行的輸出，便於你儲存檢視，或者交給其它工具分析

• -q : 簡潔地列印輸出。即列印很少的協議相關資訊, 從而輸出行都比較簡短.

• -c : 捕獲 count 個包 tcpdump 就退出

• -s : tcpdump 預設只會擷取前 96 位元組的內容，要想擷取所有的報文內容，可以使用 -s number， number 就是你要擷取的報文位元組數，如果是 0 的話，表示擷取報文全部內容。

• -S : 使用絕對序列號，而不是相對序列號

• -C：file-size，tcpdump 在把原始資料包直接儲存到檔案中之前, 檢查此檔案大小是否超過file-size. 如果超過了, 將關閉此檔案,另創一個檔案繼續用於原始資料包的記錄. 新建立的檔名與-w 選項指定的檔名一致, 但檔名後多了一個數字.該數字會從1開始隨著新建立檔案的增多而增加. file-size的單位是百萬位元組(nt: 這裡指1,000,000個位元組,並非1,048,576個位元組, 後者是以1024位元組為1k, 1024k位元組為1M計算所得, 即1M=1024 ＊ 1024 ＝ 1,048,576)

• -F：使用file 檔案作為過濾條件表示式的輸入, 此時命令列上的輸入將被忽略.

4.10 對輸出內容進行控制的引數

• -D : 顯示所有可用網路介面的列表
• -e : 每行的列印輸出中將包括資料包的資料鏈路層頭部資訊
• -E : 揭祕IPSEC資料
• -L ：列出指定網路介面所支援的資料鏈路層的型別後退出
• -Z：後接使用者名稱，在抓包時會受到許可權的限制。如果以root使用者啟動tcpdump，tcpdump將會有超級使用者許可權。
• -d：打印出易讀的包匹配碼
• -dd：以C語言的形式打印出包匹配碼.
• -ddd：以十進位制數的形式打印出包匹配碼

5. 過濾規則組合

有程式設計基礎的同學，對於下面三個邏輯運算子應該不陌生了吧

• and：所有的條件都需要滿足，也可以表示為 &&
• or：只要有一個條件滿足就可以，也可以表示為 ||
• not：取反，也可以使用 !

舉個例子，我想需要抓一個來自10.5.2.3，發往任意主機的3389埠的包

$ tcpdump src 10.5.2.3 and dst port 3389

當你在使用多個過濾器進行組合時，有可能需要用到括號，而括號在 shell 中是特殊符號，因為你需要使用引號將其包含。例子如下：

$ tcpdump 'src 10.0.2.4 and (dst port 3389 or 22)'

而在單個過濾器裡，常常會判斷一條件是否成立，這時候，就要使用下面兩個符號

• =：判斷二者相等
• ==：判斷二者相等
• !=：判斷二者不相等

當你使用這兩個符號時，tcpdump 還提供了一些關鍵字的介面來方便我們進行判斷，比如

• if：表示網絡卡介面名、
• proc：表示程序名
• pid：表示程序 id
• svc：表示 service class
• dir：表示方向，in 和 out
• eproc：表示 effective process name
• epid：表示 effective process ID

比如我現在要過濾來自程序名為 nc 發出的流經 en0 網絡卡的資料包，或者不流經 en0 的入方向資料包，可以這樣子寫

$ tcpdump "( if=en0 and proc =nc ) || (if != en0 and dir=in)"

6. 特殊過濾規則

5.1 根據 tcpflags 進行過濾

通過上一篇文章，我們知道了 tcp 的首部有一個標誌位。

tcpdump 支援我們根據資料包的標誌位進行過濾

proto [ expr:size ]

• proto：可以是熟知的協議之一（如ip，arp，tcp，udp，icmp，ipv6）

• expr：可以是數值，也可以是一個表示式，表示與指定的協議頭開始處的位元組偏移量。

• size：是可選的，表示從位元組偏移量開始取的位元組數量。

接下來，我將舉幾個例子，讓人明白它的寫法，不過在那之前，有幾個點需要你明白，這在後面的例子中會用到：

1、tcpflags 可以理解為是一個別名常量，相當於 13，它代表著與指定的協議頭開頭相關的位元組偏移量，也就是標誌位，所以 tcp[tcpflags] 等價於 tcp[13] ，對應下圖中的報文位置。

2、tcp-fin, tcp-syn, tcp-rst, tcp-push, tcp-ack, tcp-urg 這些同樣可以理解為別名常量，分別代表 1，2，4，8，16，32，64。這些數字是如何計算出來的呢？

以 tcp-syn 為例，你可以參照下面這張圖，計算出來的值 是就是 2

由於數字不好記憶，所以一般使用這樣的“別名常量”表示。

因此當下面這個表示式成立時，就代表這個包是一個 syn 包。

tcp[tcpflags] == tcp-syn

要抓取特定資料包，方法有很多種。

下面以最常見的 syn包為例，演示一下如何用 tcpdump 抓取到 syn 包，而其他的型別的包也是同樣的道理。

據我總結，主要有三種寫法：

1、第一種寫法：使用數字表示偏移量

$ tcpdump -i eth0 "tcp[13] & 2 != 0" 

2、第二種寫法：使用別名常量表示偏移量

$ tcpdump -i eth0 "tcp[tcpflags] & tcp-syn != 0" 

3、第三種寫法：使用混合寫法

$ tcpdump -i eth0 "tcp[tcpflags] & 2 != 0" 

# or

$ tcpdump -i eth0 "tcp[13] & tcp-syn != 0" 

如果我想同時捕獲多種型別的包呢，比如 syn + ack 包

1、第一種寫法

$ tcpdump -i eth0 'tcp[13] == 2 or tcp[13] == 16'

2、第二種寫法

$ tcpdump -i eth0 'tcp[tcpflags] == tcp-syn or tcp[tcpflags] == tcp-ack'

3、第三種寫法

$ tcpdump -i eth0 "tcp[tcpflags] & (tcp-syn|tcp-ack) != 0" 

4、第四種寫法：注意這裡是 單個等號，而不是像上面一樣兩個等號，18（syn+ack） = 2（syn） + 16（ack）

$ tcpdump -i eth0 'tcp[13] = 18'

# or

$ tcpdump -i eth0 'tcp[tcpflags] = 18'

tcp 中有 類似 tcp-syn 的別名常量，其他協議也是有的，比如 icmp 協議，可以使用的別名常量有

icmp-echoreply, icmp-unreach, icmp-sourcequench, 
icmp-redirect, icmp-echo, icmp-routeradvert,
icmp-routersolicit, icmp-timx-ceed, icmp-paramprob, 
icmp-tstamp, icmp-tstampreply,icmp-ireq, 
icmp-ireqreply, icmp-maskreq, icmp-maskreply

5.2 基於包大小進行過濾

若你想檢視指定大小的資料包，也是可以的

$ tcpdump less 32 
$ tcpdump greater 64 
$ tcpdump <= 128

5.3 根據 mac 地址進行過濾

例子如下，其中 ehost 是記錄在 /etc/ethers 裡的 name

$ tcpdump ether host [ehost]
$ tcpdump ether dst	[ehost]
$ tcpdump ether src	[ehost]

5.4 過濾通過指定閘道器的資料包

$ tcpdump gateway [host]

5.5 過濾廣播/多播資料包

$ tcpdump ether broadcast
$ tcpdump ether multicast

$ tcpdump ip broadcast
$ tcpdump ip multicast

$ tcpdump ip6 multicast

7. 如何抓取到更精準的包？

先給你丟擲一個問題：如果我只想抓取 HTTP 的 POST 請求該如何寫呢？

如果只學習了上面的內容，恐怕你還是無法寫法滿足這個抓取需求的過濾器。

在學習之前，我先給出答案，然後再剖析一下，這個過濾器是如何生效的，居然能讓我們對包內的內容進行判斷。

$ tcpdump -s 0 -A -vv 'tcp[((tcp[12:1] & 0xf0) >> 2):4]'

命令裡的可選引數，在前面的內容裡已經詳細講過了。這裡不再細講。

本節的重點是引號裡的內容，看起來很複雜的樣子。

將它逐一分解，我們只要先理解了下面幾種用法，就能明白

• tcp[n]：表示 tcp 報文裡 第 n 個位元組

• tcp[n:c]：表示 tcp 報文裡從第n個位元組開始取 c 個位元組，tcp[12:1] 表示從報文的第12個位元組（因為有第0個位元組，所以這裡的12其實表示的是13）開始算起取一個位元組，也就是 8 個bit。檢視 tcp 的報文首部結構，可以得知這 8 個bit 其實就是下圖中的紅框圈起來的位置，而在這裡我們只要前面 4個bit，也就是實際資料在整個報文首部中的偏移量。

• &：是位運算裡的 and 操作符，比如 0011 & 0010 = 0010

• >>：是位運算裡的右移操作，比如 0111 >> 2 = 0001

• 0xf0：是 10 進位制的 240 的 16 進製表示，但對於位操作來說，10進位制和16進位制都將毫無意義，我們需要的是二進位制，將其轉換成二進位制後是：11110000，這個數有什麼特點呢？前面個 4bit 全部是 1，後面4個bit全部是0，往後看你就知道這個特點有什麼用了。

分解完後，再慢慢合併起來看

1、tcp[12:1] & 0xf0 其實並不直觀，但是我們將它換一種寫法，就好看多了，假設 tcp 報文中的 第12 個位元組是這樣組成的 10110000，那麼這個表示式就可以變成 10110110 && 11110000 = 10110000，得到了 10110000 後，再進入下一步。

2、tcp[12:1] & 0xf0) >> 2 ：如果你不理解 tcp 報文首部裡的資料偏移，請先點選這個前往我的上一篇文章，搞懂資料偏移的意義，否則我保證你這裡會絕對會聽懵了。

tcp[12:1] & 0xf0) >> 2 這個表示式實際是 (tcp[12:1] & 0xf0) >> 4 ) << 2 的簡寫形式。所以要搞懂 tcp[12:1] & 0xf0) >> 2 只要理解了(tcp[12:1] & 0xf0) >> 4 ) << 2 就行了 。

從上一步我們算出了 tcp[12:1] & 0xf0 的值其實是一個位元組，也就是 8 個bit，但是你再回去看下上面的 tcp 報文首部結構圖，表示資料偏移量的只有 4個bit，也就是說 上面得到的值 10110000，前面 4 位（1011）才是正確的偏移量，那麼為了得到 1011，只需要將 10110000 右移4位即可，也就是 tcp[12:1] & 0xf0) >> 4，至此我們是不是已經得出了實際資料的正確位置呢，很遺憾還沒有，前一篇文章裡我們講到 Data Offset 的單位是 4個位元組，因為要將 1011 乘以 4才可以，除以4在位運算中相當於左移2位，也就是 <<2，與前面的 >>4 結合起來一起算的話，最終的運算可以簡化為 >>2。

至此，我們終於得出了實際資料開始的位置是 tcp[12:1] & 0xf0) >> 2 （單位是位元組）。

找到了資料的起點後，可別忘了我們的目的是從資料中打到 HTTP 請求的方法，是 GET 呢 還是 POST ，或者是其他的？

有了上面的經驗，我們自然懂得使用 tcp[((tcp[12:1] & 0xf0) >> 2):4] 從資料開始的位置再取出四個位元組，然後將結果與 GET （注意 GET最後還有個空格）的 16進位制寫法（也就是 0x47455420）進行比對。

0x47   -->   71    -->  G
0x45   -->   69    -->  E
0x54   -->   84    -->  T
0x20   -->   32    -->  空格

如果相等，則該表示式為True，tcpdump 認為這就是我們所需要抓的資料包，將其輸出到我們的終端螢幕上。

8. 抓包實戰應用例子

8.1 提取 HTTP 的 User-Agent

從 HTTP 請求頭中提取 HTTP 的 User-Agent：

$ tcpdump -nn -A -s1500 -l | grep "User-Agent:"

通過 egrep 可以同時提取User-Agent 和主機名（或其他標頭檔案）：

$ tcpdump -nn -A -s1500 -l | egrep -i 'User-Agent:|Host:'

8.2 抓取 HTTP GET 和 POST 請求

抓取 HTTP GET 請求包：

$ tcpdump -s 0 -A -vv 'tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420'

# or

$ tcpdump -vvAls0 | grep 'GET'

可以抓取 HTTP POST 請求包：

$ tcpdump -s 0 -A -vv 'tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x504f5354'

# or 

$ tcpdump -vvAls0 | grep 'POST'

注意：該方法不能保證抓取到 HTTP POST 有效資料流量，因為一個 POST 請求會被分割為多個 TCP 資料包。

8.3 找出發包數最多的 IP

找出一段時間內發包最多的 IP，或者從一堆報文中找出發包最多的 IP，可以使用下面的命令：

$ tcpdump -nnn -t -c 200 | cut -f 1,2,3,4 -d '.' | sort | uniq -c | sort -nr | head -n 20

• cut -f 1,2,3,4 -d '.' : 以 . 為分隔符，打印出每行的前四列。即 IP 地址。
• sort | uniq -c : 排序並計數
• sort -nr : 按照數值大小逆向排序

8.4 抓取 DNS 請求和響應

DNS 的預設埠是 53，因此可以通過埠進行過濾

$ tcpdump -i any -s0 port 53

8.5 切割 pcap 檔案

當抓取大量資料並寫入檔案時，可以自動切割為多個大小相同的檔案。例如，下面的命令表示每 3600 秒建立一個新檔案 capture-(hour).pcap，每個檔案大小不超過 200*1000000 位元組：

$ tcpdump  -w /tmp/capture-%H.pcap -G 3600 -C 200

這些檔案的命名為 capture-{1-24}.pcap，24 小時之後，之前的檔案就會被覆蓋。

8.6 提取 HTTP POST 請求中的密碼

從 HTTP POST 請求中提取密碼和主機名：

$ tcpdump -s 0 -A -n -l | egrep -i "POST /|pwd=|passwd=|password=|Host:"

8.7 提取 HTTP 請求的 URL

提取 HTTP 請求的主機名和路徑：

$ tcpdump -s 0 -v -n -l | egrep -i "POST /|GET /|Host:"

8.8 抓取 HTTP 有效資料包

抓取 80 埠的 HTTP 有效資料包，排除 TCP 連線建立過程的資料包（SYN / FIN / ACK）：

$ tcpdump 'tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)'

8.9 結合 Wireshark 進行分析

通常 Wireshark（或 tshark）比 tcpdump 更容易分析應用層協議。一般的做法是在遠端伺服器上先使用 tcpdump 抓取資料並寫入檔案，然後再將檔案拷貝到本地工作站上用 Wireshark 分析。

還有一種更高效的方法，可以通過 ssh 連線將抓取到的資料實時傳送給 Wireshark 進行分析。以 MacOS 系統為例，可以通過 brew cask install wireshark 來安裝，然後通過下面的命令來分析：

$ ssh root@remotesystem 'tcpdump -s0 -c 1000 -nn -w - not port 22' | /Applications/Wireshark.app/Contents/MacOS/Wireshark -k -i -

例如，如果想分析 DNS 協議，可以使用下面的命令：

$ ssh root@remotesystem 'tcpdump -s0 -c 1000 -nn -w - port 53' | /Applications/Wireshark.app/Contents/MacOS/Wireshark -k -i -

抓取到的資料：

-c 選項用來限制抓取資料的大小。如果不限制大小，就只能通過 ctrl-c 來停止抓取，這樣一來不僅關閉了 tcpdump，也關閉了 wireshark。

到這裡，我已經將我所知道的 tcpdump 的用法全部說了一遍，如果你有認真地看完本文，相信會有不小的收穫，掌握一個上手的抓包工具，對於以後我們學習網路、分析網路協議、以及定位網路問題，會很有幫助，而 tcpdump 是我推薦的一個抓包工具。

9. 參考文章

1. FreeBSD Manual Pages About tcpdump
2. Linux tcpdump命令詳解
3. 一份快速實用的 tcpdump 命令參考手冊
4. 超詳細的網路抓包神器 tcpdump 使用指南
5. [譯]tcpdump 示例教程
6. [英]tcpdump 示例教程